infection virus qui se fait passer pour un antivirus

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 17 Mai 2010 10:50

petite remarque qui peut, peut être, t'aider à comprendre ce qui se passe:
pour le plantage de MBAM, il a tourné pendant une grosse heure avant de planter, et avait trouvé deux infections.
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 17 Mai 2010 13:15

Je ne pense pas que le plantage vienne du fait que MBAM ait trouvé une infection, mais il se peut que cela soit à ce moment que beaucoup de ressources memoires soient demandées à ce moment, et que le bug survienne.Idem pour ZHP.

Par contre la connection, c'est différent on va essayer de la réparer:

Télécharge WinsockFix
  • Enregistre le sur le bureau
  • Double clique dessus
  • Clique sur ReG-Backup pour créer une sauvegarde du registre
  • Clique sur Fix. Au message WinsockFix will now attempt to Repair your connection réponds par OUI.
  • Valide au message par ok, le pc va redémarrer.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 17 Mai 2010 17:14

salut,
lorsque j'ai voulu creer la sauvegarde il m'a affiche un message d'erreur a chaque fichier de sauvegarde:
"Error saving file
C:\ERDNT\default
Continue with next file"
avec un message un peu different pour le user file

je n'ai donc pas lancer le fix pour reparer car a mon avis la sauvegarde a pas marche
est ce que je le fais ou non?
merci
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 17 Mai 2010 17:37

Essaye de sauvegarder le registre directement avec le logiciel Erunt (c'est lui même utilisé) comme spécifié sur cette page:
http://www.malekal.com/tutorial_ERUNT.php

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 17 Mai 2010 18:33

salut,
bon j'ai fait la sauvegarde du registre en manuel comme indique, ca a marche.
J'ai ensuite fait la reparation avec winsockfix, mais pas d'evolution internet ne marche toujours pas, pourtant on dirait qu'il veut lancer la page, mais juste avant de l'afficher il me met internet explorer ne peut pas afficher cette page web!
penses tu que je devrait reinstaller ie ou mettre firefox?
++
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 17 Mai 2010 18:41

Tu as dû garder Hijackthis?
Balance moi un scan stp vérifier une eventuelle rupture de chaîne.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 17 Mai 2010 20:16

voila le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:15, on 17/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Virtualization Handler\CVHSVC.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Toshiba\Tvs\TvsTray.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [Tvs] C:\Program Files\Toshiba\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?eddc409cf4f942c9b9b771d697465598
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?eddc409cf4f942c9b9b771d697465598
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crl ... crlocx.ocx
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 10045 bytes
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 17 Mai 2010 20:38

Tente l'installation d'un navigateur alternatlf stp.
Sur l'icône en bas à droite, tu es connecté?Ou c'est juste le navigateur qui à du mal?

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 17 Mai 2010 22:14

alors la je dois avouer que ce qui se passe est a mon sens incompréhensible :
j'ai installe firefox, et la miracle internet a marche. Mon serveur de connexion c'est wifirst et je dois passer par leur site pour m'identifier, et la en lançant firefox miracle il me lance le site de wifirst, donc je me connecte a internet j'arrive a naviguer sur internet, mais au bout de pas tres longtemps la connexion coupe est la impossible faire quoique se soit il me dit serveur introuvable.
Je redémarre mon pc et la je réussi a me reconnecter mais de mm que pour qq minutes et ca rebug!
donc je comprends pas du tout
est ce que se serait pas des residu de virus?
eclaire moi si tu peux

++
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 18 Mai 2010 07:45

deplus lorsque firefox marche j'ai essayé de démarrer ie mais lui ne marche pas!
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 18 Mai 2010 09:02

Ce qui est étrange, c'est que soit internet marche ou il marche pas!
Quand tu ne peux plus naviguer, est tu toujours connecté ou pas?

Des residus de virus, je pense mais il n'y a pas grand chose qui fonctionne donc c'est pas simple pour voir. :|

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 18 Mai 2010 10:36

alors pour répondre à ta question, mon pc me dit en permanence que je suis connecté au réseau et que c'est bon.

Ensuite qd je démarre mon pc et que je me connecte via firefox à internet il marche j'arrive à naviguer pendant qq temps puis par exmples je veux changer de page internet ou envoyer un mail et la il me dit qu'il ne peut pas acceder à la page que le servuer est introuvable (enfin le message de firefox) alors que mon pc me dit toujours que je suis connecté au réseau et que la connectivite est bonne 100Mbit...
si je redémarre mon pc ca remarche!

pour IE, ca ne marche jamais meme qd j'arrive à naviguer avec firefox, il me dit quil ne peut pas afficher la page (message claissique), est pourtant encore une fois mon pc me dit que je suis connecté au réseau normalement.

voila si ca peut t'aider...

et sinon je suis entrain d'essayer de tester ma RAM mais mon PC ne veut pas booter sur le CD que j'ai graver, donc c'est un peu plus chiant que prévu!

merci pour tout ce que tu fais en tout cas!
desole d'etre un cas si compliqué

++
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 18 Mai 2010 10:40

je me disait peut etre que les scan plante a cause de tout les logiciles de nettoyage que j'ai toujours d'installer
entre OTM, ZHPdiag, hijackthis,...
j'avais aussi ZHPfix
plus ceux que tu m'avais dit de tester
peut etre que je devrais tous les désinstaller et tenter un scan avec MBAM, il y a peut etre des interférence!

autre remarque : j'ai mon windows security center qui me dit que mon ordinateur cours un risque en permanence, est ce normale?
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 18 Mai 2010 20:39

salut,
je viens de regarder un truc sur mon parefeu,
deja la case d'internet explorer etait decocher dans les acces a internet autorise (je l'ai recocher mais internet ne marche pas pour autant) deplus j'ai deux programmes zattoo.exe et zattood que je ne connais pas du tout, lorsque je decoche ces cases pour les empecher d'acceder a internet alors je perds ma connexion au reseau local.
j'ai essaye de desactive mon parefeu mais internet ne marche pas pour autant
ets ce que ces programmes zattoo ne serait pas la cause du probleme?
voila merci d'avance.
littelou
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 19 Mai 2010 09:54

Bonjour,

Il y a tellement de raison pour que quelque chose bloque tes accés sur le net...
Et sans log, c'est comme demander à un aveugle de traverser l'autoroute!
Il faut que tu regarde du côté de tes barettes en parallèle.

Essaye la manoeuvre MBAM + Zhpdiag en Mode Sans Echec stp.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 19 Mai 2010 19:09

salut,
bon bin meme en mode sans echec les deux programmes plantent!!
je sais pas ce qu'on peut faire d'autre pour scanner mon PC
sinon on a jamais utilisé rkill au final est ce aue tu crois que ce serait utile?
voila
je suis un peu desepere la mais bon
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 20 Mai 2010 14:29

Bonjour,

Si ça plante même en MSE, cela ne vient pas de l'infection, car pas actifs dans ce mode.
Pour la connection et le reste il nous faut pouvoir utiliser ces outils.
Va faire un tour au préalable sur le forum "Matèriel" pour tester tes barettes, et reviens que l'on puisse finir de travailler correctement.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar Florinator » 04 Juin 2010 21:34

Bonjour Littelou,

Des news?
Peux tu essayer ceci stp:

Télécharge GMer

  • Clique sur "Download EXE"
  • Sauvegarde-le sur ton Bureau (le nom est aléatoire)

NB:Sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

  • Fais un clique droit dessus ((le nom comporte 8 chiffres/lettres aléatoires) et "Exécuter en tant qu'administrateur"
  • Déconnecte toi d'Internet puis ferme tous les programmes.

NB:Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan , clique "NO"

  • Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante IAT/EAT
  • Assure-toi que "Show All" est décoché
  • Clique sur "Scan" et patiente (cela peut prendre 10 minutes ou +)
  • Une fois fini, clique sur le bouton "Save..." (au bas à droite) ;
  • Nomme le fichier "Florinator" et sauvegarde-le sur le Bureau ;
  • Copie/colle le contenu de ce rapport dans ta réponse.

A++
Le savoir n'est utile que si il est transmis.
Avatar de l’utilisateur
Florinator
Maître Libellulien
Maître Libellulien
 
Messages: 661
Inscription: 28 Déc 2009 16:19

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 10 Juin 2010 22:50

Salut, dsl je n'avais pas vu que tu avais posté un autre outil!
j'ai fait le scan et ca a marché donc je te poste le rapport
merci d'avoir continué à chercher
littelou
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

Re: infection virus qui se fait passer pour un antivirus

Messagepar littelou » 10 Juin 2010 22:51

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-10 23:47:33
Windows 5.1.2600 Service Pack 3
Running: 6yncqbl0.exe; Driver: C:\DOCUME~1\Xavier\LOCALS~1\Temp\uxtyapog.sys


---- System - GMER 1.0.15 ----

SSDT sptd.sys ZwCreateKey [0xF74340B0]
SSDT sptd.sys ZwEnumerateKey [0xF7439A92]
SSDT sptd.sys ZwEnumerateValueKey [0xF7439E20]
SSDT sptd.sys ZwOpenKey [0xF7434090]
SSDT sptd.sys ZwQueryKey [0xF7439EF8]
SSDT sptd.sys ZwQueryValueKey [0xF7439D78]
SSDT sptd.sys ZwSetValueKey [0xF7439F8A]

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text USBPORT.SYS!DllUnload F64958AC 5 Bytes JMP 870B37A0
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF616723F]
? System32\Drivers\ap09n2zk.SYS Le chemin d'accès spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[1248] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 3 Bytes JMP 0092000A
.text C:\WINDOWS\System32\svchost.exe[1248] ntdll.dll!NtProtectVirtualMemory + 4 7C91D6F2 1 Byte [84]
.text C:\WINDOWS\System32\svchost.exe[1248] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 0093000A
.text C:\WINDOWS\System32\svchost.exe[1248] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0091000C
.text C:\WINDOWS\System32\svchost.exe[1248] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 00EA000A
.text C:\WINDOWS\Explorer.EXE[1792] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B7000A
.text C:\WINDOWS\Explorer.EXE[1792] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BD000A
.text C:\WINDOWS\Explorer.EXE[1792] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B6000C

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 873601E8
Device \FileSystem\Fastfat \FatCdrom 8595C980
Device \Driver\NetBT \Device\NetBT_Tcpip_{5C88CD6E-569C-473F-A7A2-9EC1166DDC3A} 86FC11E8
Device \Driver\USBSTOR \Device\0000009d 859565D8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\USBSTOR \Device\0000009e 859565D8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbuhci \Device\USBPDO-0 870B21E8
Device \Driver\usbuhci \Device\USBPDO-1 870B21E8
Device \Driver\usbuhci \Device\USBPDO-2 870B21E8
Device \Driver\ACPI \Device\00000053 86AAE4F8
Device \Driver\usbuhci \Device\USBPDO-3 870B21E8
Device \Driver\ACPI \Device\00000054 86AAE4F8
Device \Driver\usbehci \Device\USBPDO-4 87085600
Device \Driver\ACPI \Device\00000055 86AAE4F8
Device \Driver\ACPI \Device\00000056 86AAE4F8
Device \Driver\ACPI \Device\00000070 86AAE4F8
Device \Driver\ACPI \Device\00000057 86AAE4F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 873D21E8
Device \Driver\ACPI \Device\00000064 86AAE4F8
Device \Driver\ACPI \Device\00000058 86AAE4F8
Device \Driver\Cdrom \Device\CdRom0 86F771E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 873D21E8
Device \Driver\ACPI \Device\00000059 86AAE4F8
Device \Driver\ACPI \Device\00000065 86AAE4F8
Device \Driver\Cdrom \Device\CdRom1 86F771E8
Device \Driver\atapi \Device\Ide\IdePort0 [F738FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F738FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e [F738FB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\ACPI \Device\00000066 86AAE4F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{D7BAB0BF-73E0-4D62-A996-EA4C69C429AA} 86FC11E8
Device \Driver\ACPI \Device\00000067 86AAE4F8
Device \Driver\ACPI \Device\00000068 86AAE4F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 86FC11E8
Device \Driver\ACPI \Device\00000090 86AAE4F8
Device \Driver\ACPI \Device\00000077 86AAE4F8
Device \Driver\ACPI \Device\00000091 86AAE4F8
Device \Driver\NetBT \Device\NetbiosSmb 86FC11E8
Device \Driver\ACPI \Device\00000079 86AAE4F8
Device \Driver\ACPI \Device\0000005a 86AAE4F8
Device \Driver\ACPI \Device\0000005b 86AAE4F8
Device \Driver\ACPI \Device\0000005d 86AAE4F8
Device \Driver\PCI_NTPNP8592 \Device\0000005f sptd.sys
Device \Driver\usbuhci \Device\USBFDO-0 870B21E8
Device \Driver\ACPI \Device\0000006c 86AAE4F8
Device \Driver\ACPI \Device\0000007a 86AAE4F8
Device \Driver\usbuhci \Device\USBFDO-1 870B21E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 870FF980
Device \Driver\ACPI \Device\0000007b 86AAE4F8
Device \Driver\usbuhci \Device\USBFDO-2 870B21E8
Device \Driver\ACPI \Device\0000006e 86AAE4F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 870FF980
Device \Driver\usbuhci \Device\USBFDO-3 870B21E8
Device \Driver\ACPI \Device\0000006f 86AAE4F8
Device \Driver\usbehci \Device\USBFDO-4 87085600
Device \Driver\Ftdisk \Device\FtControl 873D21E8
Device \Driver\ACPI \Device\0000007e 86AAE4F8
Device \Driver\ACPI \Device\0000007f 86AAE4F8
Device \Driver\ap09n2zk \Device\Scsi\ap09n2zk1Port2Path0Target0Lun0 86F697C0
Device \Driver\ap09n2zk \Device\Scsi\ap09n2zk1 86F697C0
Device \FileSystem\Fastfat \Fat 8595C980

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 86AEB980

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0xF8 0xB1 0xA8 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB0 0x11 0x08 0xB4 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA1 0xE3 0xA6 0x81 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xC3 0x58 0x21 0x37 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 1928975804
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 332655
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0xF8 0xB1 0xA8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Jeux PC\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB8 0x09 0xC5 0xCD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x32 0xF4 0x2D 0x8A ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xBC 0xBD 0xD3 0x44 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x0A 0x67 0x26 0xAA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x0A 0x67 0x26 0xAA ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0xF8 0xB1 0xA8 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Jeux PC\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB8 0x09 0xC5 0xCD ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x32 0xF4 0x2D 0x8A ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xE0 0x9B 0x7C 0xD6 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x0A 0x67 0x26 0xAA ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x0A 0x67 0x26 0xAA ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0xF8 0xB1 0xA8 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Jeux PC\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xB8 0x09 0xC5 0xCD ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x32 0xF4 0x2D 0x8A ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xBC 0xBD 0xD3 0x44 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x0A 0x67 0x26 0xAA ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x0A 0x67 0x26 0xAA ...

---- EOF - GMER 1.0.15 ----
littelou
Libellulien Junior
Libellulien Junior
 
Messages: 161
Inscription: 23 Juil 2008 17:06

PrécédenteSuivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités