[résolu]virus en cours avec hacker , virus TR/patched.2654321

Si tu ne sais pas, Hacker Tool s'en occupera

Pour bien faire, je ne donne pas d'autres procédures tant que Hacker Tool s'occupe de toi

@+

@ juju :

Citation :

O42 - Logiciel: ѸÀ×5 - (.ѸÀ×ÍøÂç¼¼ÊõÓÐÏÞ¹«Ë¾.) [HKLM]
[HKCU\Software\Microsoft\Internet Explorer\MenuExt\??????]
[HKCU\Software\Microsoft\Internet Explorer\MenuExt\??????????]

Comme je te l'ai déjà dit plus haut...
ces ligne correspondent tous simplement a des ligne que zhp na pas pu déchiffrer..
donc a ne pas en tenir compte,,
on le voie régulièrement dans certain rapport (ZHP,, Combofix etc..etc..)
c'est tous simplement une erreur de la par de ZHP ,, rien de plus


@ sayky

peut tu vérifier quand même si tu voie ceci :
rend toi ici :

Menu demarrer >> panneau de configuration >> ajout suppression de programme <

y voie tu ceci :
ѸÀ×5 - (.ѸÀ×ÍøÂç¼¼ÊõÓÐÏÞ¹«Ë¾.)

je doute, mais ne sais ton jamais

dans l'attente de ton rapport malwarebyte

Bonjour

::: Effectivement dans Menu demarrer >> panneau de configuration >> ajout suppression de programme <

y voie tu ceci :
ѸÀ×5 - (.ѸÀ×ÍøÂç¼¼ÊõÓÐÏÞ¹«Ë¾.)

IL y a cette ligne

Bien alors dans ce cas :

Retourne ici Menu demarrer >> panneau de configuration >> ajout suppression de programme <

Et désinstalle ceci :
ѸÀ×5 - (.ѸÀ×ÍøÂç¼¼ÊõÓÐÏÞ¹«Ë¾.)

Pour le reste c'est bon il s'agit bien d'une mauvaise retransmission de la part de ZHP

Une fois que tu l'aura désinstaller ...alors poste moi le rapport Malwarebyte

++

voila le rapport de Malwarebyte:::

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4504

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

30/08/2010 11:00:50
mbam-log-2010-08-30 (11-00-50).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 91701
Temps écoulé: 1 heure(s), 17 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

et maintenant ??????? on fait quoi ??????

Alors

Je dis pas que des conneries ^^

==> pour avancer Hacker Tool

Refais un ZHPDiag et héberge sur cijoint

si prob. cijoint, vas sur cjoint.com


@+

voila le rapport de ZHDiag :

:: http://www.cijoint.fr/cjlink.php?file=cj201008/cijRpg0q7r.zip ::

@+

Bonjour ..

Juju,, pour le logiciel Effectivement ..
j'aurais d'ailleurs du vérifier des le début,,
Mais pour le reste Pas de soucis c'est bien ce que je disait plus haut

@ Sayky

Il y a de nouvelles infections sur le rapport :/

Peut tu faire ceci STp°

Rend toi sur ce lien,
http://www.virustotal.com/fr/

->> La ou il et marquer envoyer le fichier, Clic sur "parcourir"
recherche les entrer suivante dans ton disque :

C:\Windows\System32\drivers\mdyrk.sys

->> Si une fenetre aparait disant, "Le fichier a deja ete Analyser", Alors clic sur Réanalyser le fichier

->> Copie et colle le lien de ce dernier ici présent dans la barre d'adresse de ton navigateur , après que l'analyse soit terminer STp°


----------------------------------------------------------

Il se peut que les fichier ne sont pas voyant :
Pour les afficher :

--> Rentre dans ton panneau de configuration....
--> Apparence et personnalisation...
--> Option des dossier...(double cliquer dessus)
--> Dans l'onglet affichage un peu plus bas ou il et marquer afficher les dossier et fichier cacher..Active l'option afficher les dossier et fichier cacher..

Dans l'attente de ton rapport

@ ++

->> Copie et colle le lien de ce dernier ici présent dans la barre d'adresse de ton navigateur , après que l'analyse soit terminer STp° ...

La j ai pas compris , l analyse est terminée , et apres ?????

Une fois que l'analyse et terminer .. tu copie et colle le lien de la page Web Ici

ok , je te met la copie

Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: mdyrk.sys
Submission date: 2010-08-31 14:40:40 (UTC)
Current status: queued queued analysing finished


Result: 1/ 43 (2.3%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.08.31.01 2010.08.31 -
AntiVir 8.2.4.46 2010.08.31 -
Antiy-AVL 2.0.3.7 2010.08.31 -
Authentium 5.2.0.5 2010.08.31 -
Avast 4.8.1351.0 2010.08.31 -
Avast5 5.0.594.0 2010.08.31 -
AVG 9.0.0.851 2010.08.31 -
BitDefender 7.2 2010.08.31 -
CAT-QuickHeal 11.00 2010.08.31 -
ClamAV 0.96.2.0-git 2010.08.31 -
Comodo 5922 2010.08.31 -
DrWeb 5.0.2.03300 2010.08.31 -
Emsisoft 5.0.0.37 2010.08.31 -
eSafe 7.0.17.0 2010.08.30 Win32.TrojanHorse
eTrust-Vet 36.1.7828 2010.08.31 -
F-Prot 4.6.1.107 2010.08.31 -
F-Secure 9.0.15370.0 2010.08.31 -
Fortinet 4.1.143.0 2010.08.31 -
GData 21 2010.08.31 -
Ikarus T3.1.1.88.0 2010.08.31 -
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2396 2010.08.30 -
Kaspersky 7.0.0.125 2010.08.31 -
McAfee 5.400.0.1158 2010.08.31 -
McAfee-GW-Edition 2010.1B 2010.08.31 -
Microsoft 1.6103 2010.08.31 -
NOD32 5412 2010.08.31 -
Norman 6.05.11 2010.08.31 -
nProtect 2010-08-31.01 2010.08.31 -
Panda 10.0.2.7 2010.08.31 -
PCTools 7.0.3.5 2010.08.31 -
Prevx 3.0 2010.08.31 -
Rising 22.63.01.04 2010.08.31 -
Sophos 4.56.0 2010.08.31 -
Sunbelt 6817 2010.08.31 -
SUPERAntiSpyware 4.40.0.1006 2010.08.31 -
Symantec 20101.1.1.7 2010.08.31 -
TheHacker 6.5.2.1.359 2010.08.31 -
TrendMicro 9.120.0.1004 2010.08.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.31 -
VBA32 3.12.14.0 2010.08.31 -
ViRobot 2010.8.31.4017 2010.08.31 -
VirusBuster 5.0.27.0 2010.08.31 -
Additional informationShow all
MD5 : e6d35f3aa51a65eb35c1f2340154a25e
SHA1 : aabbd57e20d2e7041f9e7abce6cfd8a53c366537
SHA256: 3da4f51682e7d42c5569f1fb1adc6295182962e36f748219e1d0c8f2389ba516
ssdeep: 768:Bosx0q2ph6P2Jpz8ftoSUiJP7hYTCMrhwYKUzY4q:j076P2Jpz8ftBUMPaCMrhwY
File size : 54016 bytes
First seen: 2009-09-18 00:44:25
Last seen : 2010-08-31 14:40:40
TrID:
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0xC505
timedatestamp....: 0x4A9EE5B5 (Wed Sep 02 21:37:57 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x480, 0xBD9F, 0xBE00, 5.83, 9474f39576a0e15bdbaa2ea3355f0a4a
.rdata, 0xC280, 0x126, 0x180, 3.78, 375b710d9f213cfced30e9fdb29567e1
.data, 0xC400, 0xC0, 0x100, 0.33, 786971ca2b109729eda604b44d6c72ad
INIT, 0xC500, 0x3C8, 0x400, 5.20, eea49a93a73afb6afc178455582133c6
.reloc, 0xC900, 0x9EC, 0xA00, 6.62, bddd5a40c508bfc84ec87de5f8e6a5d3

[[ 1 import(s) ]]
ntoskrnl.exe: ZwWriteFile, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePool, RtlPrefixUnicodeString, memcpy, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwSetInformationFile, ZwQueryInformationFile, ZwQueryDirectoryFile, ZwOpenFile, KeTickCount, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion, KeBugCheckEx



VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
Add your comment... Remember that when you write comments as an anonymous user they receive the lowest possible reputation. So if you have not signed in yet don't forget to do so. How to markup your comments?

You can add basic styles to your comments using the following accepted bbcode tags:

text -- bold
text -- italics
text -- underline
[s]text[/s] -- strikethrough

Code:

text

-- preformatted text

You can also address comments to particular users using the "@" twitter-like mode. By prepending a "#" symbol to a word you can add custom tags to your comment, tags that can then be searched for.

Bien



Tu peux donc faire ceci maintenant

Télécharge Javara

http://prm753.bchea.org/JavaRa.zip

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.


SI ceci ne marche pas :

Citation :

* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher

.

Alors installe Java ici :
http://www.java.com/fr/download/

Puis passe a la suite de la procédure

Dans l'attente de ton rapport

apres la procedure d installation de java , j ai un message qui me dis ,,,

:: Vous disposez deja de la plateforme Java (TM) laa plus recente sur ce systeme :::

: et un autre message : Removed C :\Program Files\ Java\ jre 1.6.0_02 .
: Removed C :\Program Files\ Java\ jre 1.6.0_18.

Voila ------> et maintenant ----->
A+

sayky18 a écrit:

:: Vous disposez deja de la plateforme Java (TM) laa plus recente sur ce systeme :::

Ok,, peut tu vérifier ici :
http://www.java.com/en/download/help/testvm.xml

Vérifie que dans le cadre il y est bien ceci :

java a écrit:

Version : Java 6 Update 21

Sinon , et bien fait comme il te la été indiquer, c'est a dire

* double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application. .

Voila

@ ++ et -->> bonne

avant de , message relevé

:: Your Java configuration is a follows :
Vendor : Sun Microsystems Inc.
Version ; Java 6 Update 21
Operating System : Windows vista 6.0
Architecture : x 86

Voila --A+

Re

ok,, tu peux donc faire ceci :

* double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application. .

++

Bon dodo

[b] J ai des insomnies : lol


Toujours le meme message apres les operations :

Removed C :\Program Files\ Java\ jre 1.6.0_02 .
Removed C :\Program Files\ Java\ jre 1.6.0_18.


A+

OK,,

c'est tous ce que tu a dans le rapport ??
Si oui alors tu peux passer a ceci :

/!\ Si vous posseder déja un version de ce logiciel,, il vous faut alors la désinstaller,, pour télécharger celle-ci /!\

Télécharge >-> Hijackthis <-<

Enregistre le sur ton bureau, et exécute le fichier enregistrer, tu n'aura plus qu'a te laisser guider lors de l'instalation (installe le avec ces paramètre par défaut)

Une fois télécharger, Si il ne se lance pas automatiquement alors clique sur le raccourcis créer sur ton bureau...

Sélectionne Do a system scan and save a logfile
Laisse le travailler, en fin de scan un rapport s'ouvre..
Poste le ici STp

Dans l'attente de ton rapport

slt
Je te mets 2 rapports de Malwarebytes :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4504

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

30/08/2010 09:42:36
mbam-log-2010-08-30 (09-42-36).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 354471
Temps écoulé: 5 heure(s), 33 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll (Trojan.BHO) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{988934a4-064b-11d3-bb80-00104b35e7f9} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{a1dd29ed-2598-48e9-9793-64a9cd08ac94} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{87ca3845-37fe-414c-81cf-e08a7d0f6779} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{802f530b-a8f6-4631-ae49-6bacaac6373e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{802f530b-a8f6-4631-ae49-6bacaac6373e} (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll (Trojan.BHO) -> Delete on reboot.


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4504

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

30/08/2010 11:00:50
mbam-log-2010-08-30 (11-00-50).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 91701
Temps écoulé: 1 heure(s), 17 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


je croyais que le premier etait terminé , c est pour ca que j ai fait un deuxieme test .
maintenant , je fais le test " Hijackthis "

JE voie de nouvelle infections BHO :/

On va avant de terminer le désinfections verifier si tous va bien grace a un nouveau rapport zhpdiag

Histoire de faire un petit contrôle de routine
Car Malwarebytes a trouver des infections qui n'aurais pas du être la


Relance un diagnostic avec ZHPdiag,, comme tu la fait précédemment STp°
N'oublie pas d'héberger le rapport Via Cijoint

Dans l'attente de ton lien

voila le rapport

Le dépôt du fichier ZHPDiag.zip a été réalisé avec succès !

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201009/cijTUr4YEO.zip

a+

Re

Bien,,

Tu peux donc passer a Hijackthis comme demander plus haut
Il s'agissait juste de traces qui sont rester après désinfection,, Rien de bien graves donc

Par contre

Fait ceci :

[x] - Double Clique (Clique droit executer en tant qu'administrateur pour Vista/7) sur ZHPFix présent sur le bureau ou l'icone en forme d'écu dans ZHPDiag

[x] - Copie seulement ce qui est en gras ci-dessous...::

=========================================

O42 - Logiciel: Java 6 Update 18 - (.Sun Microsystems, Inc..) [HKLM]
O42 - Logiciel: Java 6 Update 2 - (.Sun Microsystems, Inc..) [HKLM]
O44 - LFC:[MD5.7D3B022BE8AC3662FE1E5FFC4F1381D1] - 21/08/2010 - 17:20:03 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\TDSSKiller.2.4.1.2_21.08.2010_18.18.39_log.txt [59908]
O44 - LFC:[MD5.7C432FDF6426B35B692357240657E154] - 23/08/2010 - 06:08:04 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix.txt [1519]
O44 - LFC:[MD5.C3E3FB527E28C1082F41FDE88002AE23] - 15/08/2010 - 04:47:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-SCAN[3].txt [4858]

=========================================


[x] - Clique sur "H" le texte en dessous va disparaitre pour laisser place aux ligne si dessous

[x] - Clique sur OK

[x] - Coche toutes les cases ou clique sur tous puis Nettoyer

[x] - Si un message apparait demandant confirmation pour la suppression alors [Accepte]

[x] - Poste le résultat qui va apparaitre Stp°

Aide Et Tuto : http://alabien.forumactif.org/faq-tutoriel-astuces-f10/tuto-zhpfix-t222.htm

Tu pourra ensuite passer a Hijackthis, et me poster le rapport en même temps que celui ci

Dans l'attente de tes rapport

avec tout ca , je sais pas si mon message est parti ????????????

nous avons continuer par messagerie priver tu ne sera donc plus perdu

Citation :

avec tout ca , je sais pas si mon message est parti ????????????

en tous cas je n'est vu aucun message ??? :/

j ai repris le pasage ou tu me demande de faire Hijackthis :
Apres demande enregistrer sous , un message apparait :
----------------------------------------------------------------------------------------------------------
Element introuvable
Il n existe plus dans c :users:alain:appdata:local:microsoft:windows:
temporary internet files : low : content.ie5 : caphpo0k : hijack this[1].exe
Verifiez l emplacement de l element et réessayer .
----------------------------------------------------------------------------------------------------------

Voila -----> et maintenant ?????????????