Forum Clubic

Supprimer win32.autoit.fr (winfiles.exe infecté)

Bonjour à tous, mon antivirus a detecté le virus suivant, je n’ai pas reussi à le supprimer, apparament celui-ci m’empeche d’ouvrir le gestionnaire des taches, la base de registre, j’ai lance malwarebyte antimalware, il reussi a detecté le probleme masi il ne peut supprimer le fichier winfiles.exe. Voici un rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:00, on 26/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Java\jre6\bin\jqs.exe
E:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
E:\WINDOWS\Explorer.exe
E:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\system32\PnkBstrB.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Electronic Arts\EADM\Core.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
E:\Program Files\NETGEAR\WPN311\wlancfg5.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
E:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
E:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
E:\WINDOWS\system32\wbem\wmiapsrv.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe
E:\Program Files\Mozilla Firefox\firefox.exe
D:\telechargements\Logiciels\HiJackThis.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe winfiles.exe
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [AVP] “E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe”
O4 - HKLM…\Run: [amd_dc_opt] E:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU…\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [DLD.EXE] E:\Program Files\Download Direct\DLD.exe
O4 - HKCU…\Run: [EA Core] “E:\Program Files\Electronic Arts\EADM\Core.exe” -silent
O4 - HKCU…\Run: [PC Suite Tray] “E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe” -onlytray
O4 - HKCU…\Run: [DAEMON Tools Lite] “E:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun
O4 - HKCU…\Run: [Yahoo Messengger] E:\WINDOWS\system32\winfiles.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-20…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User ‘Default user’)
O4 - Global Startup: NETGEAR WPN311 Smart Wizard.lnk = E:\Program Files\NETGEAR\WPN311\wlancfg5.exe
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {05CA9FB0-3E3E-4b36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - go.microsoft.com…
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - webscanner.kaspersky.fr…
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - www.nvidia.com…
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - www.update.microsoft.com…
O16 - DPF: {6e32070a-766d-4ee6-879c-dc1fa91d2fc3} (MUWebControl Class) - update.microsoft.com…
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - www.nvidia.com…
O17 - HKLM\System\CCS\Services\Tcpip…{F8B18F2B-A26C-478D-B80B-5D39C753E4E7}: NameServer = 212.27.40.241,212.27.40.240
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,E:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - E:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - E:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - E:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe


End of file - 7936 bytes

:hello:

Clique ici pour télécharger GenProc sur le bureau

=> Décompresse le sur le bureau
=> Ouvre le dossier créé et lance [b]GenProc.bat[/b]
=> Enregistre le rapport sur le bureau et poste le ici s'il te plait

[[b]Une aide à  l'utilisation ici[/b]](http://www.alt-shift-return.org/Info/GenProc-HowTo.html)

J’ai fais ce que tu m’as dis, j’ai lance genproc.bat mais il me dis “impossible d’ouvrir e:/boot.ini” du coup il m’ouvre un rapport il me dis de telecharger msnfix c’est ce que j’ai fais, je l’ai executer en mode sans echec il avait detecte une infection j’ai nettoyer avec succes, quand je redemarre en mode normal mon antivirus detecte toujours un virus cette fois ci il detecte un “backdoor.w32.bifrose.for” dans le fichier e:\windows\system32\winfiles.exe.

quand je relance genproc.bat il me dios de faire un rapport avec nod32 des que le scan finit jte l’envoie merci de ton aide.

Voici le log nod32:

ESETSmartInstaller@High as downloader log:
all ok

version=5

OnlineScannerApp.exe=1.0.0.1

OnlineScanner.ocx=1.0.0.5799

api_version=3.0.2

EOSSerial=

end=stopped

remove_checked=true

archives_checked=true

unwanted_checked=true

unsafe_checked=true

antistealth_checked=true

utc_time=2009-04-28 09:44:44

local_time=2009-04-28 11:44:44 (+0100, Paris, Madrid (heure d’été))

country=“France”

lang=1036

osver=5.1.2600 NT Service Pack 3

compatibility_mode=27929 21 100 99 30265469843750

scanned=62647

found=8

cleaned=8

scan_time=1968

C:\Documents and Settings\Administrateur\Bureau\Nouveau dossier\Mes documents\Mes fichiers reçus\my_Slave.rar Win32/RemoteAnything application (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Documents and Settings\Administrateur\Mes documents\CrossLoopSetup.exe Win32/RemoteAdmin.WinVNC application (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Documents and Settings\Administrateur\Mes documents\Logiciels\Outil pour avoir windows original.rar Win32/PSWTool.RAS.A application (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Documents and Settings\Administrateur\Mes documents\Logiciels\patch-tcpip.zip Win32/Tool.EvID4226 application (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Documents and Settings\Administrateur\Mes documents\Logiciels\Dblokfon\BB5\BB5logunlocker.exe une variante probable de Win32/Agent cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
C:\Documents and Settings\Administrateur\Mes documents\Logiciels\Dblokfon\BB5\Others\unlockgsm.exe une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Documents and Settings\Administrateur\Mes documents\Logiciels\Dblokfon\BB5\Others\Unlocking_Phone_BlackID__.rar menaces multiples (supprimé - mis en quarantaine) 00000000000000000000000000000000
C:\Documents and Settings\Administrateur\Mes documents\Logiciels\Outil pour avoir windows original\Outil pour avoir windows original\outils\2Changer de clef XP.exe Win32/PSWTool.RAS.A application (supprimé - mis en quarantaine) 00000000000000000000000000000000
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251

version=5

OnlineScannerApp.exe=1.0.0.1

OnlineScanner.ocx=1.0.0.5799

api_version=3.0.2

EOSSerial=

end=finished

remove_checked=true

archives_checked=true

unwanted_checked=true

unsafe_checked=true

antistealth_checked=true

utc_time=2009-04-28 11:01:19

local_time=2009-04-29 01:01:19 (+0100, Paris, Madrid (heure d’été))

country=“France”

lang=1036

osver=5.1.2600 NT Service Pack 3

compatibility_mode=27929 21 100 99 30311413437500

scanned=60527

found=9

cleaned=9

scan_time=4500

E:\Documents and Settings\Sofiane\Local Settings\Application Data\Mozilla\Firefox\Profiles\t3i2mr5p.default\Cache\27FB1AB7d01 menaces multiples (supprimé - mis en quarantaine) 00000000000000000000000000000000
E:\Documents and Settings\Sofiane\Mes documents\MSNFix.zip menaces multiples (supprimé - mis en quarantaine) 00000000000000000000000000000000
E:\Documents and Settings\Sofiane\Mes documents\Logiciels\crysis.v1.2-nodvd.rar une variante de Win32/HackTool.Patcher.A application (supprimé - mis en quarantaine) 00000000000000000000000000000000
E:\Documents and Settings\Sofiane\Mes documents\Logiciels\SmitfraudFix.exe menaces multiples (supprimé - mis en quarantaine) 00000000000000000000000000000000
E:\Documents and Settings\Sofiane\Mes documents\Logiciels\VirtumundoBeGone.exe Win32/PrcView application (supprimé - mis en quarantaine) 00000000000000000000000000000000
E:\Documents and Settings\Sofiane\Mes documents\MSNFix\MSNFix\incl\Hostsclean.exe Win32/Packed.Autoit.Gen application (supprimé - mis en quarantaine) 00000000000000000000000000000000
E:\Documents and Settings\Sofiane\Mes documents\MSNFix\MSNFix\incl\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
E:\WINDOWS\system32\Process.exe Win32/PrcView application (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000
E:\WINDOWS\system32\drivers\gaopdxnvvvseyf.sys.vir une variante de Win32/Olmarik.FQ cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000

Re,

Télécharge, mets à jour Malwarebytes Anti-Malware que tu trouveras ici (pour les intimes il se nomme MBAM)

Passe en mode sans échec:
www.inforumatique.fr…

En préférant la méthode F8

Scanne ton ordi avec MBAM (mode complet), supprime tout ce qui est trouvé, enregistre le rapport sur le bureau, poste le dans ton prochain message