Virus fake windows sécurity center [presque Résolu]

[babygun]

voila j ai récemment dl une campagne pour le jeu l4d
un ami a moi l a l normalement sans aucun soucis mais moi j ai eut une alerte virus
j ai donc immédiatement viré l archive et tout ce qu il contenait
une minute après une fenêtre genre windows security center c est ouverte (fake car anglaise)
je l ai fermer
et mon antivirus c est encore affolé
j ai regarder d ou venait le probleme
il vient d application data
je suis aller dans le dossier nommé google (fake)
et j ai essayer de supprimer les fichiers qui étaient dedans
cela m affiche fichiers protégés en écriture

donc voila je suis a la recherche d une personne pouvant m aider
j ai penser a un fichier .bat pour résoure le soucis mais je ne sais pas trop si sa sera efficace :/

si vous pouvez m aider je vous en remercie

O4 - HKLM..Run: [realteks] "C:Documents and SettingsgaetanApplication DataGooglecjhhl15625481.exe" 2 (c est cet exe qui fout la merde)

[r@in | b0w]

Bonjour.


1_ Tu suis ce tutorial et tu nous postes le rapport généré.


2_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

[babygun]

Voila le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:33, on 06/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelWirelessBinEvtEng.exe
C:Program FilesIntelWirelessBinS24EvMon.exe
C:Program FilesIntelWirelessBinWLKeeper.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
C:Program Filesa-squared Freea2service.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
C:Program FilesWIDCOMMBluetooth Softwareintwdins.exe
C:Program FilesJavajre6injqs.exe
C:Program FilesDellQuickSetNICCONFIGSVC.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32PnkBstrA.exe
C:Program FilesIntelWirelessBinRegSrvc.exe
C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxWatch9.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32 undll32.exe
C:Program FilesJavajre6injusched.exe
C:WINDOWSstsystra.exe
C:Program FilesDellQuickSetquickset.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesIntelWirelessinCfgSvc.exe
C:Program FilesIntelWirelessBinifrmewrk.exe
C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxWatchTray9.exe
C:Program FilesDellMediaDirectPCMService.exe
C:Program FilesD-Toolsdaemon.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
C:Documents and SettingsgaetanApplication DataGooglecjhhl15625481.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesNetWaiting
etWaiting.exe
C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxMediaDB9.exe
C:Program FilesAviraAntiVir PersonalEdition ClassicGUARDGUI.EXE
C:Program FilesFichiers communsInstallShieldUpdateServiceisuspm.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesuTorrentuTorrent.exe
C:Program FilesWIDCOMMBluetooth SoftwareBTTray.exe
C:Program FilesDigital Line DetectDLG.exe
C:Program FilesHamachihamachi.exe
C:Program FilesFichiers communsRoxio Shared9.0SharedCOMCPSHelpRunner.exe
C:Documents and SettingsgaetanBureausniffle.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell ... bd=5080715
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.google.fr/hws/sb/dell-row/fr ... channel=fr
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.google.fr/hws/sb/dell-row/fr ... channel=fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.google.fr/hws/sb/dell-row/fr ... channel=fr
R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell ... bd=5080715
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.google.fr/ig/dell?hl=fr&clie ... bd=5080715
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre6inssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier3.1.807.1746swg.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:Program FilesDellBAEBAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:Program FilesJavajre6injp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM..Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre6injusched.exe"
O4 - HKLM..Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM..Run: [Dell QuickSet] C:Program FilesDellQuickSetquickset.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [IntelZeroConfig] "C:Program FilesIntelWirelessinCfgSvc.exe"
O4 - HKLM..Run: [IntelWireless] "C:Program FilesIntelWirelessBinifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM..Run: [RoxWatchTray] "C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxWatchTray9.exe"
O4 - HKLM..Run: [dscactivate] "C:Program FilesDell Support Centergs_agentcustomdsca.exe"
O4 - HKLM..Run: [PCMService] "C:Program FilesDellMediaDirectPCMService.exe"
O4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [avgnt] "C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [realteks] "C:Documents and SettingsgaetanApplication DataGooglecjhhl15625481.exe" 2
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [ModemOnHold] C:Program FilesNetWaiting
etWaiting.exe
O4 - HKCU..Run: [ISUSPM] "C:Program FilesFichiers communsInstallShieldUpdateServiceisuspm.exe" -scheduler
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [uTorrent] "C:Program FilesuTorrentuTorrent.exe"
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:Program FilesHamachihamachi.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:Program FilesWIDCOMMBluetooth Softwaretsendto_ie_ctx.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:Program FilesYahoo!Commonyinsthelper.dll
O20 - AppInit_DLLs: C:PROGRA~1GoogleGOOGLE~2GOEC62~1.DLL,wbsys.dll
O20 - Winlogon Notify: GoToAssist - C:Program FilesCitrixGoToAssist514G2AWinLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:Program Filesa-squared Freea2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:Program FilesWIDCOMMBluetooth Softwareintwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:Program FilesIntelWirelessBinEvtEng.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:Program FilesCitrixGoToAssist514g2aservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:Program FilesJavajre6injqs.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:Program FilesDellQuickSetNICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:Program FilesIntelWirelessBinRegSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:Program FilesFichiers communsRoxio Shared9.0SharedCOMRoxWatch9.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:Program FilesIntelWirelessBinS24EvMon.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:Program FilesFichiers communsSureThing Sharedstllssvr.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:Program FilesIntelWirelessBinWLKeeper.exe

--
End of file - 11324 bytes

[r@in | b0w]

Ok.


_ Tu peux supprimer les lignes suivantes:

C:Documents and SettingsgaetanApplication DataGooglecjhhl15625481.exe
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM..Run: [realteks] "C:Documents and SettingsgaetanApplication DataGooglecjhhl15625481.exe" 2
O4 - HKCU..Run: [uTorrent] "C:Program FilesuTorrentuTorrent.exe"
O4 - Startup: hamachi.lnk = C:Program FilesHamachihamachi.exe


_ Tu peux désinstaller A-squared qui n'est pas mis à jour.


_ Toujours Mbam à faire.

Et pour information, HiJackThis ne fait rien! Là, si tu supprimes les lignes que j'ai données, tu vas supprimer des entrées registre mais pas l'infection.

Mbam est à faire!

[babygun]

ah zut

bin utorrent je m en sers tout le temps et hamachi aussi :/
je vais faire un scan comme tu as dis alors

[r@in | b0w]

La suppression des lignes entrainera juste une modification de registre, dans le cas des lignes commençant par 04, ces programmes ne se lanceront plus au démarrage de Windows. Economie de temps au démarrage de la session, rien de plus.

[babygun]

deux fichiers prorat virés + fichiers a l origine du bug viré
il ne semble plus y avoir de soucis maintenant

[r@in | b0w]

Bonjour.

Fais un copier-coller du rapport et poste-le.

Relance ensuite Mbam jusqu'à ce qu'il ne trouve plus rien.