Bibou Le Forum
Portail sur la sécurité
 
PortailAccueilRechercherS'enregistrerMembresGroupesConnexion

Partagez | 
 

 Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Sam 9 Mai 2009 - 22:34

Bonsoir,

Après détection, sur le PC d'un ami, d'un virus, il s'avère que mon DD externe en avait plusieurs.
J'ai effectué la procédure de pré-désinfection, voici le résultat : http://www.bullteam.net/pastebin/?575

Merci de me dire si tout est OK ou si je dois faire d'autres manip.

J'ai un autre PC, probablement infecté, non connecté à internet mais sur lequel le DD externe a été branché.
Comment dois-je procéder pour le désinfecter sans pour autant le connecter au net : est-ce possible ?

Merci de votre retour et bonne soirée Wink
Revenir en haut Aller en bas
arctarus
Bibou de bronze
Bibou de bronze
avatar

Masculin
Nombre de messages : 2788
Age : 40
Localisation : vogue et vous surveille !
Humeur : content
Date d'inscription : 14/05/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Lun 11 Mai 2009 - 23:39

sujet suivi par rico

salut attends ses consignes ,merci!
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Mar 12 Mai 2009 - 14:45

Salut Woonie !

Commence par faire ceci :


Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur RSIT.exe.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

A noter: Les rapports se trouvent également ici: C:\rsit.

/!\ Poste les deux rapports (log + info) dans deux messages séparés, merci /!\

A noter: Si les rapports sont trop longs, mieux vaut les uploader selon ->->CE TUTO<-<-
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Jeu 14 Mai 2009 - 18:21

Bonsoir,

Voici les 2 rapports de RSIT :
- contenu log.txt => http://www.bullteam.net/pastebin/?576
- contenu info.txt => http://www.bullteam.net/pastebin/?577

Merci de m'aider Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Ven 15 Mai 2009 - 1:35

Vraiment pas de quoi ! Wink

Bon, on va déjà voir sur ce pc, on verra pour l'autre ensuite. Pour répondre à ta question, c'est possible de le nettoyer sans qu'il n'ait de connexion, il suffit de faire passer les outils et les rapports par clé usb.

Bref, pour l'instant, fais ceci :

Télécharge et installe UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

# Double clique sur le raccourci UsbFix présent sur ton bureau .

# Choisi l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

++
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Ven 15 Mai 2009 - 11:09

Bonjour,

Voici le rapport UsbFix :

############################## [ UsbFix V3.019 # Scan ]

# User : Utilisateur (Administrateurs) # USER-30B4833A16
# Update on 13/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 11:04:21 | 15/05/2009

# Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 29,29 Go (16,9 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 203,58 Go (196,76 Go free) # NTFS
# F:\ # Disque fixe local # 465,76 Go (440,16 Go free) [laboitatruc] # NTFS
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible # 968,38 Mo (6,44 Mo free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
E:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\msmsgs.exe
E:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminator.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Utilisateur"
HKLM_logon: "AltDefaultUserName"="Utilisateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: SkyTel=SkyTel.EXE
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM_Run: nwiz=nwiz.exe /install
HKLM_Run: SpywareTerminator="C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: Kernel and Hardware Abstraction Layer=KHALMNPR.EXE
HKLM_Run: ZoneAlarm Client="e:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
HKLM_Run: WinampAgent="C:\Program Files\Winamp\winampa.exe"
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: iTunesHelper="E:\Program Files\iTunes\iTunesHelper.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
HKCU_Run: Sony Ericsson PC Suite="E:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\autorun.inf
Found ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\\ "FirewallOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{47f304e9-1796-11dd-93a5-001e8c83e60f}\Shell\AutoRun\command

################## [ ! Fin du rapport # UsbFix V3.019 ! ]


Merci de votre aide Smile
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Ven 15 Mai 2009 - 11:28

Re,

Voici le rapport UsbFix pour la clé USB que je n'ai pas pu brancher lors du 1er scan :

############################## [ UsbFix V3.019 # Scan ]

# User : Utilisateur (Administrateurs) # USER-30B4833A16
# Update on 13/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 11:20:47 | 15/05/2009

# Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 29,29 Go (16,9 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 203,58 Go (196,76 Go free) # NTFS
# F:\ # Disque amovible # 7,45 Go (6,72 Go free) # FAT32
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jusched.exe
E:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\msmsgs.exe
E:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Utilisateur"
HKLM_logon: "AltDefaultUserName"="Utilisateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: SkyTel=SkyTel.EXE
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM_Run: nwiz=nwiz.exe /install
HKLM_Run: SpywareTerminator="C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: Kernel and Hardware Abstraction Layer=KHALMNPR.EXE
HKLM_Run: ZoneAlarm Client="e:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
HKLM_Run: WinampAgent="C:\Program Files\Winamp\winampa.exe"
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: iTunesHelper="E:\Program Files\iTunes\iTunesHelper.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
HKCU_Run: Sony Ericsson PC Suite="E:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\\ "FirewallOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{47f304e9-1796-11dd-93a5-001e8c83e60f}\Shell\AutoRun\command

################## [ ! Fin du rapport # UsbFix V3.019 ! ]


Merci Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Sam 16 Mai 2009 - 1:37

SAlut !

Bien, on va déjà virer ce M2 et ce qui va avec. L'option 2 d'UsbFix vaccinera également automatiquement tes disques.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

# Double clique sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

++
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Sam 16 Mai 2009 - 10:39

Bonjour,

Voici le rapport UsbFix suite à l'option 2 :

############################## [ UsbFix V3.019 # Cleaning ]

# User : Utilisateur (Administrateurs) # USER-30B4833A16
# Update on 13/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 10:32:54 | 16/05/2009

# Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 29,29 Go (16,92 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 203,58 Go (196,76 Go free) # NTFS
# F:\ # Disque fixe local # 465,76 Go (440,16 Go free) [laboitatruc] # NTFS
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible
# K:\ # Disque amovible # 968,38 Mo (6,44 Mo free) # FAT
# L:\ # Disque amovible # 7,45 Go (6,72 Go free) # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\autorun.inf
Deleted ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center\\ "FirewallOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 ) # -> Reset sucessfully !

################## [ Registre # Mountpoints2 ]

# -> Not Found !

################## [ Listing des fichiers présent ]

[04/04/2008 23:13|--a------|0] - C:\AUTOEXEC.BAT
[04/04/2008 23:09|---hs----|216] - C:\boot.ini
[02/03/2006 14:00|-rahs----|4952] - C:\Bootfont.bin
[04/04/2008 23:13|--a------|0] - C:\CONFIG.SYS
[04/04/2008 23:13|-rahs----|0] - C:\IO.SYS
[04/04/2008 23:13|-rahs----|0] - C:\MSDOS.SYS
[02/03/2006 14:00|-rahs----|47564] - C:\NTDETECT.COM
[25/01/2009 17:08|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[14/05/2009 18:37|--a------|186] - C:\USBCheck.txt
[16/05/2009 10:34|--a------|3124] - C:\UsbFix.txt
[11/03/2009 11:22|--a------|372] - E:\Raccourci vers Mes documents.lnk
[08/07/2008 19:54|--a------|12279478] - F:\adpdow.exe
[10/07/2008 10:22|--a------|686630] - F:\dss.exe
[08/07/2008 19:20|--a------|3477267] - F:\Faire_part_mariage_Bnj-So-mehdi-2.JPG
[08/07/2008 19:54|--a------|4281823] - F:\Faire_part_mariage_Bnj-So-mehdi-4.JPG
[14/07/2008 20:39|--a------|571872] - F:\FP 2.pptx
[10/07/2008 14:27|--a------|12739] - F:\main.txt
[08/07/2008 21:58|--a------|494049] - F:\So-Bnj 2.jpg
[24/11/2008 22:37|--ahs----|21504] - F:\Thumbs.db
[26/06/2008 15:01|--ah-----|4096] - K:\._.Trashes
[09/07/2008 22:06|--ah-----|6148] - K:\.DS_Store
[05/12/2007 10:42|--a------|612192] - L:\?????????????_v1011.exe
[02/07/2008 22:30|-r-hs----|119097] - L:\q3kw0rw.bat
[14/05/2009 22:32|--a------|27561] - L:\So cv def.JPG
[15/05/2009 10:15|--a------|184433] - L:\So.jpg

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.
# E:\autorun.inf -> Folder created by UsbFix.
# F:\autorun.inf -> Folder created by UsbFix.
# K:\autorun.inf -> Folder created by UsbFix.
# L:\autorun.inf -> Folder created by UsbFix.

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.019 ! ]


Merci de ton aide Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Sam 16 Mai 2009 - 15:08

Ok !

Relance MBAM, mets-le à jour.

Fais un scan rapide et poste le rapport.

++
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Dim 17 Mai 2009 - 7:43

Bonjour,

Voici le rapport MBAM en mode sans échec :

Malwarebytes' Anti-Malware 1.36
Database version: 2142
Windows 5.1.2600 Service Pack 2

16/05/2009 21:26:29
mbam-log-2009-05-16 (21-26-29).txt

Scan type: Full Scan (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Objects scanned: 142552
Time elapsed: 35 minute(s), 59 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Dim 17 Mai 2009 - 14:22

Salut ! Bien. (Tu n'es pas obligé de passer MBAM en sans échec ! Wink )

Comment va ton pc ?

Fais une mise à jour d'Avira et fais un scan complet de la machine. Poste le rapport.

++ Very Happy
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Lun 18 Mai 2009 - 11:40

Bonjour,

Le PC fonctionne correctement : merci encore de votre aide Smile
Voici le rapport Avira :

Avira AntiVir Personal
Report file date: lundi 18 mai 2009 11:15

Scanning for 1397653 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: USER-30B4833A16

Version information:
BUILD.DAT : 8.2.0.348 16934 Bytes 23/03/2009 13:44:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 13:21:07
AVSCAN.DLL : 8.1.4.0 40705 Bytes 17/07/2008 17:34:03
LUKE.DLL : 8.1.4.5 164097 Bytes 17/07/2008 17:34:03
LUKERES.DLL : 8.1.4.0 12033 Bytes 17/07/2008 17:34:03
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 20:21:29
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 13:22:54
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12/05/2009 15:02:46
ANTIVIR3.VDF : 7.1.3.218 139776 Bytes 18/05/2009 07:59:06
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 01/05/2009 07:23:56
AEscript.DLL : 8.1.2.0 389497 Bytes 15/05/2009 17:48:54
AESCN.DLL : 8.1.2.3 127347 Bytes 15/05/2009 17:48:51
AERDL.DLL : 8.1.1.3 438645 Bytes 08/11/2008 10:17:06
AEPACK.DLL : 8.1.3.16 397686 Bytes 09/05/2009 08:37:04
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27/02/2009 19:41:49
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 15/05/2009 17:48:49
AEHELP.DLL : 8.1.2.2 119158 Bytes 27/02/2009 19:41:42
AEGEN.DLL : 8.1.1.44 348532 Bytes 15/05/2009 17:48:36
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 12:35:12
AECORE.DLL : 8.1.6.9 176500 Bytes 29/04/2009 10:35:31
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 12:35:11
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17/07/2008 17:34:03
AVPREF.DLL : 8.0.2.0 38657 Bytes 17/07/2008 17:34:03
AVREP.DLL : 8.0.0.3 155688 Bytes 29/04/2009 10:35:30
AVREG.DLL : 8.0.0.1 33537 Bytes 17/07/2008 17:34:03
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17/07/2008 17:34:03
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17/07/2008 17:34:03
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17/07/2008 17:34:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17/07/2008 17:34:01

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:, F:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: lundi 18 mai 2009 11:15

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'KHALMNPR.exe' - '1' Module(s) have been scanned
Scan process 'SetPointII.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'SEPCSuite.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'winampa.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'SpywareTerminatorShield.Exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sp_rsser.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
40 processes with 40 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD2
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD3
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD4
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
Master boot sector HD5
[INFO] No virus was found!
Master boot sector HD6
[INFO] No virus was found!
Master boot sector HD7
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:''
[INFO] No virus was found!
Boot sector 'E:''
[INFO] No virus was found!
Boot sector 'F:''
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '52' files ).


Starting the file scan:

Begin scan in 'C:''
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'E:''
Begin scan in 'F:''


End of the scan: lundi 18 mai 2009 11:32
Used time: 17:24 Minute(s)

The scan has been done completely.

5703 Scanning directories
182468 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
182467 Files not concerned
1748 Archives were scanned
5 Warnings
0 Notes

Smile Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Lun 18 Mai 2009 - 16:53

Salut Woonie ! Very Happy

Ça m'a l'air pas mauvais ! Wink

Je vois qu'il y a un petit réglage à faire au niveau d'Avira :

  • Fais un clic-droit sur l'icône parapluie en bas à droite de l'écran.
  • Clique sur "Configurer Antivir".
  • Une fenêtre s'ouvre, coche la case "Mode Expert".
  • Clique sur "Scanner", à gauche.
  • Dans "Autres Réglages", à droite, coche la case "Rech. Rootkits au dem. de la recherche".
  • Clique sur "Accepter" puis "OK".


==========================

Double clique sur le raccourci UsbFix présent sur ton bureau

Choisis l'option 3 ( Désinstaller ) ....

===========================

Désinstalle également RSIT ainsi que ses rapports ( C:\rsit )

============================

Poste un rapport Hijackthis :

* Télécharge hijackthis

* Tout est expliqué sur ce site web pour l'installer et l'utiliser correctement.

* Poste le rapport obtenu dans le bloc note dans ta prochaine réponse.


A++ Wink
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Mar 19 Mai 2009 - 12:03

Bonjour,

Voici le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:59:15, on 19/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
E:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\msmsgs.exe
E:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Program Files\Trend Micro\HijackThis\Hjt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "e:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "E:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SetPointII.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D7208880-9B7A-43E1-AABB-8C888A5704F9} (NetCamPlayerWeb11gv2 Control) - http://camera.parking-securite.fr:1024/NetCamPlayerWeb11gv2.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7169 bytes


J'ai également effectué la modif dans Avira.

En ce qui concerne le 2ème PC, pouvez-vous m'indiquer la procédure ?

Merci encore pour votre aide Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Mar 19 Mai 2009 - 14:53

Salut Woonie, on termine déjà avec celui-ci Wink

Fais la mise à jour de ton SP et de IE. Pour cela, ouvre IE, clique sur Windows Update. Les mises à jour importantes porteront sur IE et le SP de XP. Actuellement, on en est à SP 3 , IE 8.

=============================================

Ensuite, relance Hijackthis, choisis cette fois l'option "Do A Sytem Scan Only". La liste créée, coche les lignes suivantes :

Code:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE   
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"   
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install   
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE   
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot   
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"         
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime   
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe   
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')   
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')   
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')   
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 


Puis clique sur "Fix Checked".

===============================

Télécharge CCleaner, version Slim, sans toolbar:

CCLEANER

Va dans "Options">>"Avancé". Décoche la première ligne.

Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!

Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.

/!\ A ce moment CCleaner te demande normalement de sauvegarder le registre, fais-le. /!\

Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche.

==============================

Redémarre le pc, que tout soit pris en compte.

Si tout est ok, désinstalle Hijackthis, puis passe à la suite. (En cas de soucis, dis-le moi sans rien faire d'autre) :


!! Très Important !!

Supprimer les anciens points de restauration:

* Cliquer "démarrer", "panneau de configuration", performance et maintenance" puis système".
* Cliquer sur l'onglet "Restauration du système".
* Cocher la case "Désactiver la restauration...", puis "Appliquer" et valider par "OK".
* Redémarrer le pc.

* Cliquer "démarrer", "panneau de configuration", "performance et maintenance" puis "système".
* Cliquer sur l'onglet "Restauration du système".
* Redécocher la case "Désactiver la restauration...", puis "Appliquer" et valider par "OK".

Les points sont supprimés.

Création d'un nouveau point:

* Cliquer "démarrer", "panneau de configuration", "performance et maintenance" puis "restauration du système" (en haut à gauche).
* Dans la nouvelle fenêtre, cocher la case "Créer un point de restauration".
* Cliquer sur "Suivant".
* Entrer un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection...")
* Cliquer sur "Créer" et le point de restauration se créé automatiquement.

=============

Pour une navigation plus sûre et plus rapide: Choisis Firefox

Addon à ajouter à firefox pour le sécuriser:

Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
Explications/Demo ici : http://www.mywot.com/fr/demo

ceux-ci: http://www.malekal.com/securiser_Firefox.php
=============

Tu peux garder CCleaner, en complément de MBAM. C'est aussi un bon outil, passe-le régulièrement.

Si tu n'as plus de question et/ou problème, pour moi, c'est ok! On pourra voir pour le second pc. Wink
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Jeu 21 Mai 2009 - 10:59

Salut Ric025,

Avant de commencer les dernières manip indiquées, j'ai une question concernant la mise à jour de Windows XP.
Il y a quelques mois, j'ai effectué la mise à jour automatique de Windows et l'installation du pack 3 c'est avérée être une cata :gros pb avec ZoneAlarm, etc...
J'ai été voir sur différents forums que la màj n'était pas top et qu'il valait mieux rester sur la version XP 2.
Qu'en est-il aujourd'hui ?

Merci de ton retour Smile
Revenir en haut Aller en bas
arctarus
Bibou de bronze
Bibou de bronze
avatar

Masculin
Nombre de messages : 2788
Age : 40
Localisation : vogue et vous surveille !
Humeur : content
Date d'inscription : 14/05/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Jeu 21 Mai 2009 - 11:07

slt( je rentre et je ressort ->le problème venait de ZA ->une mise a jour spéciale avait été mise a dispo par ZA)

-->j'avais eu le meme soucis j'ai désinstallé ZA et j'avais réinstaller et remis a jour
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Dim 24 Mai 2009 - 23:24

Bonsoir,

J'ai effectué toute la procédure jusqu'à CCleaner - Recherche des erreurs et réparation, il ne reste qu'une erreur qui revient à chaque fois :
Icone par Défaut Invalide e:\Program Files\Zone Labs\ZoneAlarm\UpdClient.exe,-279 HKCR\ZAMailSafe\DefaultIcon

Merci de me dire ce que je dois faire.

Bonne soirée Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Dim 24 Mai 2009 - 23:46

Salut !

Rien de grave, passe à la suite. Very Happy

++
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Lun 25 Mai 2009 - 12:13

Salut,

J'ai effectué toutes les manip : à priori tout est OK.
J'ai installé WOT mais je n'ai pas compris ce qu'il fallait faire avec malekal Embarassed

Merci de votre aide Very Happy
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Lun 25 Mai 2009 - 14:10

Salut !

Si tu lis le sujet de malekal, tu verras qu'il est proposé deux autres extensions pour Firefox. AdBlock Plus, pour bloquer les publicités. Et NoScript, qui bloque le JavaScript. Ce langage est très utilisé. Il te faudra un petit temps afin de "débloquer" le JavaScript sur tes sites de confiance. Passé ce moment, tu seras plus en sécurité et moins gênée dans ta navigation.

====================

Ok ! Concernant le second PC, tu peux télécharger des outils depuis celui-ci et le faire passer par une clé ? Quel est le système installé ?

++
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Ven 29 Mai 2009 - 11:37

Salut,

Pour le 2ème PC, je peux télécharger les outils et les faire passer par une clé, le système est XP Pro.

Merci Smile
Revenir en haut Aller en bas
arctarus
Bibou de bronze
Bibou de bronze
avatar

Masculin
Nombre de messages : 2788
Age : 40
Localisation : vogue et vous surveille !
Humeur : content
Date d'inscription : 14/05/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Ven 29 Mai 2009 - 13:11

Woonie a écrit:
Salut,

Pour le 2ème PC, je peux télécharger les outils et les faire passer par une clé, le système est XP Pro.

Merci Smile

OUI
Revenir en haut Aller en bas
Woonie
Bibouactif
Bibouactif


Féminin
Nombre de messages : 61
Age : 43
Localisation : Massy
Humeur : Do what you love & love what you do
Date d'inscription : 11/04/2008

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Ven 29 Mai 2009 - 22:38

Re,

En fait mon post était une réponse à la question de Ric025.

Donc, je réitère Wink : j'ai de quoi télécharger des programmes à installer sur le 2nd PC qui est sous système Windows XP Pro.

Merci de m'indiquer la procédure.

Bonne soirée Smile
Revenir en haut Aller en bas
Invité
Invité



MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Sam 30 Mai 2009 - 2:43

Salut !

Commence par faire passer UsbFix. Comme le disque infecté y a été connecté, passe directement au nettoyage. Puis poste le rapport.

Je te remets la procédure :

* Télécharge UsbFix de C_XX & Chiquitine29

* Tutoriel d'installation si besoin.

* Tutoriel nettoyage si besoin.

* Lance l installation avec les paramètres par défault

* Double clique sur le raccourci UsbFix sur ton bureau

* Choisis l'option 2

* Ton bureau disparaîtra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

* Ensuite poste le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Fais ensuite passer le rapport dans la clé et poste-le. L'Option 2 d'USBFix supprimera les fichiers infectés et vaccinera à nouveau la clé si elle a été infectée.

++
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 37
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   Sam 27 Juin 2009 - 16:51

Sujet fermé en raison de l'inactivité. Si vous souhaitez réouvrir ce sujet, faites en la demande par MP en indiquant la raison et le lien vers ce sujet. Cela ne s'applique qu'à Woonie. Pour les autres, créez votre propre sujet svp.

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
Contenu sponsorisé




MessageSujet: Re: Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !   

Revenir en haut Aller en bas
 
Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Backdoor.Hupigon, W32/Perlovga.A.1 et TE/OnlineGam.119097 tout ça sur mon DD ext !
» [Résolu] Crash / Ecran bleu / security.Hijack / Backdoor.SpyNet
» TR/Drop.Small.apl Trojan - W32/Perlovga.A.1 [virus](résolu)
» BDS/Backdoor.Gen (Résolu)
» Redirection avec htaccess sauf un dossier

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Bibou le forum :: 
La sécurité
 :: Aide à la désinfection :: Sujets résolus ou anciens
-
Sauter vers: