Trojan: VBS malware Gen [Résolu]
Forum Sécurité - Virus : Trojan: VBS malware Gen [Résolu]
Re, Ben c'est déjà tout expliqué 
Je suppose que tu as une infection qui se propage par supports amovibles ( clés usb, disque dur externe etc ). Donc fais la manip' demandée, et reviens me dire une fois que cela est fait.
Aide ici : http://mickael.barroux.free.fr/sec [...] vibles.php
Sécurité / Prévention
Répondre à Egwene
Re,
| Citation : je dois mettre mon mp3 aussi, les fichiers que tu me demandes de supprimer sont dans le premier menu de chaque disque?ou faut il voir tout les sous-dossiers? |
Oui les fichiers à rechercher sont dans le premier menu 
N.B : Quand tu as eu ton message d'alerte de Avast!, venais-tu de brancher un support amovibles ?
Si la manip' ne t'inspire rien, on peut procéder autrement
Sécurité / Prévention
Répondre à Egwene
déja ,
merci de prendre tant de soin a mon problème,
je confirme que lors de l'alerte j'étais sous winamp en train d'écouter de la musique(normal 
) et sous firefox.
sinon,oui en effet,elle ne m'inspire rien cette manip!
Bon on va vérifier que tu es bien infecté(e) par ce que je pense 
1) Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».
2) Désactive toute protection résidente ( antivirus…) !
Télécharge Combofix de sUBs :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com [...] ges-1.html
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
3) Copie/colle un nouveau rapport HiJackThis avec.
Sécurité / Prévention
Répondre à Egwene
merci encore,
je dois aller manger 
je reveient dès que possible et j'essaierai cette manip
Bon app
Sécurité / Prévention
Répondre à Egwene
re, merci ^^
Il n'y vraiment pas d'autres moyens que d'installer tout ces logs pour vérifier juste un point?
j'avoue que redémarrer en mode sans echec m'a toujours jouer des tours au redémarrages suivent,la dernière fois c'était impossible de retourner sur le net et j'ai du tout reformater
Je vois que tu es OFFLINE donc je reviendrai pour voir vers 14h30
Bonne aprem qd meme
SI d'autres ont des avis ou idées;bienvenue!
Message édité par Accelerator le 22-03-2008 à 13:30:27
Re,
Une désinfection n'est jamais sans risque
Mais si tu veux de l'aide, il faut faire ce que je te dis.
Je t'ai donné deux méthodes, à toi de voir celle que tu préfères.
Bonne aprem 
Sécurité / Prévention
Répondre à Egwene
Raison de plus pour faire la manip' avec Combofix 
Sécurité / Prévention
Répondre à Egwene
bon,je vais me decider pour combofix
donc je Dl,je le met sur le bureau,j'y touche pas, j'arrete le PC,je le démare ,j'apuie sur F8,sans echec,je double click sur combofix ,et j'appuie sur 1 a la question ,entrée...
j'enregistre le rapport.
j'éteind,je rédemarre normalement et je post
c'est bien ca?
Oui sauf que tu n'auras peut-être pas à appuyer sur un
Bonne aprem
Sécurité / Prévention
Répondre à Egwene
re,
j'appuie sur F8,il me met chargement de la botte
pas moyen d'avoir accès au sans echec
Re,
Il faut patienter.
Sinon fait ça ne mode normal déjà.
Désinstalle avast, redémarre et supprime ~~>C:\Program Files\Alwil Software
Télécharge ccleaner (>>tuto à lire !<<), tu download «the latest version » puis installe le en décochant - Ajouter la Barre d'Outils Yahoo! CCleaner
Puis lance le nettoyage, puis fais chercher des erreurs et sauvegardes si tu le souhaites.
Télécharge et installe Antivir. (tuto)
Pourquoi changer ? Avast vs Antivir
Vérifie qu’il soit bien à jour ! Fais une analyse complète en mode normal, sauvegarde le rapport et poste le moi.
Sécurité / Prévention
Répondre à Egwene
bon aprem a toi aussi,j'ai fait le combofix,attendu les nombreuses étapes,en cadeau je t'offre le rapport ^^:
ComboFix 08-03-21.2 - Louis 2008-03-22 15:15:11.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1782 [GMT 1:00]
Endroit: C:\Documents and Settings\Louis\Bureau\ComboFix.exe
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
TimedOut: progfile.dat
((((((((((((((((((((((((((((( Fichiers créés 2008-02-22 to 2008-03-22 ))))))))))))))))))))))))))))))))))))
.
2008-03-18 18:02 . 2008-03-18 18:02 <REP> d-------- C:\Program Files\Everest Poker
2008-03-14 18:29 . 2008-03-22 14:51 <REP> d-------- C:\Program Files\Steam
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 14:13 1,535 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-03-22 13:51 --------- d-----w C:\Program Files\lx_cats
2008-03-18 16:47 --------- d-----w C:\Program Files\eMule
2008-01-28 17:02 --------- d-----w C:\Documents and Settings\Louis\Application Data\Ventrilo
2008-01-23 14:26 --------- d-----w C:\Program Files\Google
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 15:22 1667584]
"Steam"="c:\program files\steam\steam.exe" [2008-03-14 18:37 1266936]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 02:48 36975]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"EzPrint"="C:\Program Files\Lexmark 2400 Series\ezprint.exe" [2006-02-07 06:10 98304]
"AGEIA PhysX SysTray"="C:\Program Files\AGEIA Technologies\TrayIcon.exe" [2006-03-20 20:43 331776]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
"LXCRCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll" [2005-12-01 19:38 65536]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:09 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-11-14 13:14:23 692224]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Louis^Menu Démarrer^Programmes^Démarrage^Registration .LNK]
path=C:\Documents and Settings\Louis\Menu Démarrer\Programmes\Démarrage\Registration .LNK
backup=C:\WINDOWS\pss\Registration .LNKStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2005-03-29 20:05 339968 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-06-01 13:32 94208 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Configuration de la neuf Box]
--------- 2005-12-13 14:19 389120 C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
--a------ 2006-02-02 09:11 290816 C:\Program Files\Lexmark Fax Solutions\fm3032.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcrmon.exe]
--a------ 2006-01-22 18:45 286720 C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-19 15:22 1667584 C:\Program Files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\MsnMsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSPVideo9]
C:\Program Files\pspvideo9\pspVideo9.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 11:35 90112 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"UPS"=3 (0x3)
"TapiSrv"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"mnmsrvc"=3 (0x3)
"RemoteRegistry"=2 (0x2)
"ose"=3 (0x3)
j'attend tes déductions,je rapasserai dans la journée
Message édité par Accelerator le 22-03-2008 à 15:24:41
Je ne vois rien d'alarmant pour le moment mais faut vérifier, j'attends le résultat du scan avec antivir
Sécurité / Prévention
Répondre à Egwene
Le lien est bon
Sécurité / Prévention
Répondre à Egwene
Re,
Tu ne vires rien pour le moment, tu fais le scan demandé
Sécurité / Prévention
Répondre à Egwene
Tu désinstalles via ajout/suppression du programmes du panneau de configuration
Sécurité / Prévention
Répondre à Egwene
Re,
Moins efficace en mode normal mais ça m'ira très bien
Sécurité / Prévention
Répondre à Egwene
Merci
Comment va le PC ? Toujours des problèmes ?
Sécurité / Prévention
Répondre à Egwene
C’est OK, tu n’es plus infecté(e)
1) Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/tel [...] nions.php3
Ce programme va te faire désinstaller tous les outils que je t’ai faits utiliser.
- Clique sur Recherche et laisse le scan agir ...
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
2) Télécharge et installe Ccleaner :
http://www.01net.com/telecharger/w [...] 32599.html
- Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage".
- Ensuite clique sur l'onglet Registre, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées". Il est inutile de faire des sauvegardes des clés. Répète l'opération autant de fois qu'il le faut jusqu'à qu'il ne trouve plus d'erreurs.
- Tutorial ici : http://www.infos-du-net.com/forum/ [...] nstruction
3)
- Désactive ta restauration systeme
- Réactive ta restauration systeme
- Tutorial ici : http://www.infos-du-net.com/forum/ [...] on-systeme
********************************************************************************
Ajoute maintenant [Résolu] au titre. Pour cela :
* Clique, dans ton premier message, sur le bouton "Editer" 
* Rajoute la mention [Résolu] au titre
* Clique ensuite sur "Valider votre message"
Ce serait sympa de rapporter ton infection sur > Malware-Complaints < pour faire condamner ses auteurs
- Règles du forum <- ici
- Poster un message <- ici ( par Malekal )
Pour t'enregistrer clique sur le bouton register ( en haut )
Si tu as plus de 13 ans choisis " I Agree to these terms and am over or exactly 13 years of age "
Si tu as moins de 13 ans choisis " I Agree to these terms and am under 13 years of age "
Tu auras une liste par type d'infection
Si ton infection n'est pas dans la liste crée un message dans Autres infections
a+ et bon surf
Quelques liens intéressants :
http://mickael.barroux.free.fr/securite/
http://www.malekal.com/
http://www.infos-du-net.com/forum/ [...] protection
Sécurité / Prévention
Répondre à Egwene
Re,
Toutes les réponses à tes questions se trouvent dans mon précédent message
Infecté(e) je ne pense pas mais on a nettoyé le PC
Bonne continuation
Sécurité / Prévention
Répondre à Egwene
ok,bah encore merci mais sur malware complaints,je met quelle infection si j'en ai pas !
Re,
Ben tu mets rien
Par contre n'oublie pas d'éditer ton premier message pour y rajouter [résolu] au titre et clique sur le lien dans ma signature et prends le temps de le lire, voire de le faire tourner.
Sécurité / Prévention
Répondre à Egwene
