Infection multiple de trojans dans le "AppData/Local/Temp" de chaque session

Bonjour,

Voici mon souci:

http://www.hebergementimages.com/images ... s-data.jpg

Plusieurs virus (en groupe de 2 ou de 3) apparaissent systématiquement comme cela depuis le 6 mai et ce toutes les heures je crois... et dans le même dossier ! Je fais "delete" mais ça recommence, que faire !

Salut à toi et bienvenue,

Afin de nous éclairer sur la nature précise de tes soucis "infectieux",
dans un premier temps fais cette procédure et poste les deux rapports générés.par
Deckard's System Scanner (DSS)
-->source ici
Il sagit de ces deux rapports:
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)

===========================================
de plus:

télécharges et installes :
(ne pas télécharger si déjà présent sur le pc )
KillBox de Option^Explicit
Aide Killbox

Sélectionne entièrement la liste ci-dessous --> ce qu'il y a , à l'intérieur du cadre bleu ciel :



Citation

81exhmunmldr.exe



---> et tu fais clic droit / copier

- Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur "All Files"
- Clique sur la croix rouge et blanche
- Répond "yes" et laisse redémarrer ton pc.
N'hésite pas à consulter en cas de souci.l'Aide killbox

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
Poste le rapport ici

________________________________________________________
ensuite:

Télécharge OAD.exe de changelog.fr
http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau.

-Double clique sur le OAD pour le lancer

- nom de fichier à rechercher, ---->tape ou fais un copier coller de : 81exhmunmldr
- Type de recherche : sélectionne l'option 3 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

je suis sincèrement désolé mais j'ai suivi les conseils de ce site:

http://forum.telecharger.01net.com/micr ... 1.html#end

c'est réglé, mais de nouveau problèmes sont apparus (voir les derniers posts)

re,

l'utilisation de Genproc est du domaine de l'auto-résolution amateur.
Libre à toi d'avoir été sur ce site...mais je ne vois pas bien le pourquoi de ton message ici ...fff:
mets le post en résolu:
http://www.aidoforum.com/forum/sujet-3214.html

euh ça veut dire quoi tout ça que j'aurais pas dû faire ce qu'on m'a dit ?

re,
je t'explique , une chose....concentre-toi
Quand on choisi un forum de dépannage, on y reste, et on suit les instructions du helpeur. (ici c'est @Synthexe et moi-même )
Le fait de faire du " muti-postage " ou si tu préfères, poster plusieurs messages pour résoudre le même souci, sur des forums différents, est :

non mais je n'ai fait qu'une seule manipulation c'est bon je suis pas fou non plus

re,

tu as choisis de suivre les conseils d'un autre site.
Pas de problème, mais d'autre part tu te contredis:

Ce qui entre-nous ne m'étonne pas, vu les méthodes de décontamination utilisées.
Donc pour te résumé, j'attends une intervention de Syntexe, car on se perd un peu dans tes explications contradictoires, pour le moins
Bonne soirée.


PS:
de plus tu as choisis toi même de ne pas donné suite à mes demandes de scan. fff:
http://www.aidoforum.com/forum/vsujet-2 ... tml#245472
termines donc sur le topic que tu as commence, ce sera plus correct.
-->source ici de ton topic

Bon et bien pour faire simple, les problèmes qui sont apparus sont:

-Disparition du système d'exécution automatique pour les périphériques USB ainsi que les DVD, CD,...
-Dysfonctionnement de certains programmes ou jeux (ex: le MMORPG Dofus, qui reste bloqué sur le chargement initial)

bon et bien tu as raison je ne vais suivre qu'un seul site et ce sera celui-ci
suite à ces bugs j'ai fait une restauration système et je vais reprendre les analyses que tu m'as conseillé dans ton premier post
je post les rapports dans pas longtemps

Au passage, voici le rapport d'une analyse d'Antivir, juste au cas où:



Avira AntiVir Personal
Report file date: lundi 12 mai 2008 13:13

Scanning for 1260844 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows Vista
Windows version: (plain) [6.0.6000]
Boot mode: Normally booted
Username: SYSTEM
Computer name: PC-DE-NICOLAS

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 16/04/2008 17:18:15
AVSCAN.DLL : 8.1.1.0 53505 Bytes 16/04/2008 17:18:15
LUKE.DLL : 8.1.2.9 151809 Bytes 16/04/2008 17:18:16
LUKERES.DLL : 8.1.2.1 12033 Bytes 16/04/2008 17:18:16
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05/05/2008 11:09:22
ANTIVIR3.VDF : 7.0.4.25 125952 Bytes 11/05/2008 11:09:23
Engineversion : 8.1.0.42
AEVDF.DLL : 8.1.0.5 102772 Bytes 16/04/2008 17:18:16
AESCRIPT.DLL : 8.1.0.31 262522 Bytes 12/05/2008 11:09:29
AESCN.DLL : 8.1.0.16 119156 Bytes 12/05/2008 11:09:29
AERDL.DLL : 8.1.0.20 418165 Bytes 25/04/2008 18:50:46
AEPACK.DLL : 8.1.1.4 364918 Bytes 29/04/2008 18:59:22
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 19/04/2008 18:47:13
AEHEUR.DLL : 8.1.0.26 1237366 Bytes 12/05/2008 11:09:28
AEHELP.DLL : 8.1.0.14 115063 Bytes 19/04/2008 18:47:08
AEGEN.DLL : 8.1.0.20 299380 Bytes 12/05/2008 11:09:26
AEEMU.DLL : 8.1.0.6 430451 Bytes 12/05/2008 11:09:25
AECORE.DLL : 8.1.0.28 168310 Bytes 12/05/2008 11:09:24
AVWINLL.DLL : 1.0.0.7 14593 Bytes 16/04/2008 17:18:15
AVPREF.DLL : 8.0.0.1 25857 Bytes 16/04/2008 17:18:15
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 16/04/2008 17:18:15
AVARKT.DLL : 1.0.0.23 307457 Bytes 16/04/2008 17:18:15
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 16/04/2008 17:18:15
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16/04/2008 17:18:16
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 16/04/2008 17:18:16
NETNT.DLL : 8.0.0.1 7937 Bytes 16/04/2008 17:18:16
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 16/04/2008 17:18:08
RCTEXT.DLL : 8.0.32.0 86273 Bytes 16/04/2008 17:18:08

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: lundi 12 mai 2008 13:13

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'dofus.dll' - '1' Module(s) have been scanned
Scan process 'WMIADAP.exe' - '1' Module(s) have been scanned
Scan process 'SearchFilterHost.exe' - '1' Module(s) have been scanned
Scan process 'TrustedInstaller.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'VSSVC.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'SearchProtocolHost.exe' - '1' Module(s) have been scanned
Scan process 'CPSHelpRunner.exe' - '1' Module(s) have been scanned
Scan process 'quickset.exe' - '1' Module(s) have been scanned
Scan process 'DLG.exe' - '1' Module(s) have been scanned
Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned
Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned
Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned
Scan process 'ehmsas.exe' - '1' Module(s) have been scanned
Scan process 'sidebar.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'RocketDock.exe' - '1' Module(s) have been scanned
Scan process 'ehtray.exe' - '1' Module(s) have been scanned
Scan process 'sprtcmd.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'smvss.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'RoxMediaDB9.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'taskeng.exe' - '1' Module(s) have been scanned
Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned
Scan process 'SDWinSec.exe' - '1' Module(s) have been scanned
Scan process 'XAudio.exe' - '1' Module(s) have been scanned
Scan process 'SearchIndexer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'stacsv.exe' - '1' Module(s) have been scanned
Scan process 'sprtsvc.exe' - '1' Module(s) have been scanned
Scan process 'RoxWatch9.exe' - '1' Module(s) have been scanned
Scan process 'RegSrvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'EvtEng.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'AEstSrv.exe' - '1' Module(s) have been scanned
Scan process 'hidfind.exe' - '1' Module(s) have been scanned
Scan process 'PCMService.exe' - '1' Module(s) have been scanned
Scan process 'ApntEx.exe' - '1' Module(s) have been scanned
Scan process 'RoxWatchTray9.exe' - '1' Module(s) have been scanned
Scan process 'ApMsgFwd.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'sttray.exe' - '1' Module(s) have been scanned
Scan process 'OEM02Mon.exe' - '1' Module(s) have been scanned
Scan process 'Apoint.exe' - '1' Module(s) have been scanned
Scan process 'MSASCui.exe' - '1' Module(s) have been scanned
Scan process 'CNAC3RPK.EXE' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'taskeng.exe' - '1' Module(s) have been scanned
Scan process 'dwm.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'wlanext.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SLsvc.exe' - '1' Module(s) have been scanned
Scan process 'audiodg.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsm.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'wininit.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
80 processes with 80 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '17' files ).


Starting the file scan:

Begin scan in 'C:\' <OS>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Program Files\Bodom-Child - RaBBi\RGSS\Standard\Graphics.exe
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\Users\Nicolas\AppData\Local\Temp\3exymupcnt8.exe
[DETECTION] Is the Trojan horse TR/Zapchast.GM
[NOTE] The file was deleted!
C:\Users\Nicolas\AppData\Local\Temp\42exymupcnt8.exe
[DETECTION] Is the Trojan horse TR/Zapchast.GM
[NOTE] The file was deleted!
C:\Users\Nicolas\AppData\Local\Temp\55exymupcnt8.exe
[DETECTION] Is the Trojan horse TR/Zapchast.GM
[NOTE] The file was deleted!
C:\Users\Nicolas\AppData\Local\Temp\99exymupcnt8.exe
[DETECTION] Is the Trojan horse TR/Zapchast.GM
[NOTE] The file was deleted!
C:\Windows\System32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <RECOVERY>


End of the scan: lundi 12 mai 2008 14:03
Used time: 50:43 min

The scan has been done completely.

17447 Scanning directories
300298 Files were scanned
4 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
4 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
4 Files cannot be scanned
300294 Files not concerned
2362 Archives were scanned
4 Warnings
4 Notes


P.S: mon infection est une "infection multiple"

Rapport KillBox:

Pocket Killbox version 2.0.0.881
Running on as Nicolas(Limited Account)
was started @ lundi, mai 12, 2008, 2:18 PM

# 1 [Delete on Reboot]
Path = 81exhmunmldr.exe


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 2:20:39 PM
Killbox Closed(Exit) @ 2:20:43 PM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on as Nicolas(Limited Account)
was started @ lundi, mai 12, 2008, 2:26 PM

et enfin, le rapport OAD.exe:

12/05/2008 ---- 14:29:37,24

----------------------------------
§§§§§§ [81exhmunmldr] §§§§§§
----------------------------------
[ ] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

j'ai du nouveau:

je viens d'ouvrir une session invité et j'ai aussi des virus (souvent des trojans) qui arrivent par groupe de 3 de façon régulières dans Users/Invité/AppData/Local/Temp" !

en fait ça va dans tous les "Temp" des dossiers personnels de chaque session, qu'il s'agisse d'administrateur ou pas !

éditer: et (je sais je suis lourdingue) j'ai également ce problème: http://www.aidoforum.com/forum/viewtopi ... ht=#242915

qui est revenu après la restauration système alors qu'il avait disparu depuis quelques jours (depuis les manipulations conseillées sur le forum micro hebdo je crois)