Gros problème de Trojan Downloader Generic

[Gof]

Re bonjour Ludo73,

 

Bon, procède comme indiqué. Si tu as des questions n'hésite pas

 

Dans un premier temps, supprime les 2 fichiers Blacklight (blbeta.exe) et Look2me Destroyer (Look2me-Destroyer.exe), ainsi que leurs rapports que tu dois avoir normalement sur ton bureau. Tu n'en as plus besoin.

 

1. Téléchargement et installation des outils nécessaires.

 

=>Ewido anti-malware d' Ewido Networks --> Tu l'as déja, je ne te le fais pas retélécharger bien entendu. Je te remets tout de même le lien au cas où.

Mets le à jour :

Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

Ferme Ewido. Ne pas le lancer tout de suite.

Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

=>Télécharge ATF Cleaner par Atribune. Il automatisera le nettoyage dans les dossiers Temp notamment.

 

=>Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.

 

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

 

 

2. Redémarre en mode sans échec :

 

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

3. Suppression des éléments infectieux :

 

=>Dans Menu Démarrer, Exécuter : tape (ce qui suit en gras) : services.msc puis [ENTREE]

Trouve le service suivant : Windows Kernel Services. Fais un clic droit dessus > propriétés > type de démarrage. Sélectionne "désactivé".

 

=>Fais de même avec celui-ci : NtDIC(ntdic)

 

=>Profites en pour désactiver celui-ci (mais il n'est pas infectieux) : InstallDriver Table Manager

 

=> Rends toi dans ton menu Démarrer>Exécuter et copie/colle : C:\WINDOWS\.

 

*Une fenêtre de l'explorateur va s'ouvrir sur le dossier Windows. Assure toi que le fichier suivant n'est pas présent ; s'il l'est supprime le.

 

winlogon.exe <=Attention à ne pas confondre avec le fichier c:\windows\system32\winlogon.exe qui lui est légitime.

 

*Puis double-clique sur le dossier System32 et procède de même pour le fichier suivant :

 

icntrl.exe.

 

Ferme l'explorateur.

 

=>vide la corbeille.

 

 

4. Suppression (FIX) des lignes dans HijackThis.

 

=>Lance un scan HijackThis.

=>clique sur Do a system scan only et coche les lignes ci-dessous :

 

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NtDIC(ntdic) (NtDIC) - Unknown owner - C:\WINDOWS\system32\icntrl.exe (file missing)

O23 - Service: Windows Kernel Services - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

 

=>Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.

 

 

5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

 

=>Double-cliquer ATF-Cleaner.exe afin de lancer le programme.

 

Pour Internet Explorer.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

 

Pour Firefox.

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Un message t'indique encore une fois de la bonne suppression des éléments. Clique sur Exit pour quitter le programme.

 

=>Exécute JV16.

Mets le logiciel en français Preferences > Language > Français > OK.

Ensuite, Outils registre > menu Outils > nettoyeur de registre.

Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

Clique sur "Continuer" puis sur "Démarrer".

Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert.

 

 

6. Nettoyage complémentaire par EWIDO.

 

=>Lance Ewido et clique sur Scanner

=>Puis sur l'onglets Settings, pour How to Act sélectionne Quarantine

=>Reviens a l'onglet Scan et clique sur Complete system Scan, le scan démarre

=>A la fin clique sur Apply all actions

=>Puis sur Save report et pour finir Save report as, enregistre sur le Bureau

 

 

7. Redémarrage en mode normal et post des logs

 

Redémarre en mode normal et poste :

 

=>le rapport EWIDO

=>Un nouveau Log HijackThis

 

 

8. Analyse en ligne

 

Puis en attendant que je regarde tes logs fais un scan en ligne avec Panda : => scan en ligne. Et poste le rapport qu'il t'affichera à la fin.

Pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici.

Si tu n'y arrives pas, tu trouveras un tuto pour l'analyse en ligne ici.

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : ici

 

A plus tard.

[Ludo73]

Salut !

 

Désolé pour le retard mais j'ai repris le boulot donc j'ai pas eu trop de temps...

 

J'ai fais hier soir les manip' que tu m'avais indiquées.

A l'étape 4, toujours en mode sans echec, j'ai lancé le scan HijackThis. Cependant, je n'ai pas pu coher et "fixer" les cases que tu m'avais indiqué car elles n'apparaissaient pas. J'ai donc fermé HijackThis.

 

Par la suite, il n'y a pas eu de problème jusqu'à ce que je redémarre en mode normal. En effet, j'ai voulu me connecter à Internet (depuis mon portable, l'ordi infecté) pour te poster mon message mais l'ordi ne pouvait pas se connecter. Il semble qu'il ne reconnaissait pas le modem alors que celui-ci était branché et relié à l'ordi, comme d'habitude... Est-ce que ceci à un rapport avec les fichiers que les différents logiciels ont supprimés (notamment ceux supprimer par JV16) ? Dois-je réinstaller ma connexion Internet ?

Quand je vais dans "Démarrer" , "paramètres", "connexion réseau", puis l'onglet "prise en charge", il y a marqué "non disponible" en face des différentes rubriques ("type d'adresse","adresse IP", "Masque de sous réseau" et "passerelle par défaut")

 

Du coup, je n'ai pas pu réaliser le scan en ligne avec Panda... Je vais voir si jeux peux me connecter à Internet depuis le boulot pour faire se scan en ligne.

 

En attendant ta réponse, voilà comme prévu les deux rapports :

 

 

Rapport HijackThis :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:27:03, on 07/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\9Telecom\modem_ADSL_USB_Comtrend_CT-350\dslmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTPreset] VTPreset.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - Global Startup: DSLMON-9Online.LNK = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1116268035353

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

 

Rapport Ewido :

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 21:53:22 07/08/2006

 

+ Scan result:

 

 

 

C:\WINDOWS\icont.exe -> Adware.AdURL : Cleaned with backup (quarantined).

C:\Program Files\DaemonTools_WhenUSaveNow_Installer\DaemonTools_WhenUSaveNow_Installer.exe -> Adware.SaveNow : Cleaned with backup (quarantined).

C:\Program Files\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll -> Adware.Softomate : Cleaned with backup (quarantined).

C:\WINDOWS\system32\mljghfd.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).

C:\WINDOWS\system32\mljkkjg.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).

C:\WINDOWS\system32\opnoomk.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).

 

 

::Report end

 

Bonne journée,

 

A plus tard !

[Gof]

Bonjour Ludo73,

 

désolé également du retard, j'ai repris aussi le boulot, et je ne serais là que ce soir pour regarder tes logs. Je n'ai pas d'explications comme ça sur le vif pour ta connexion, je regarderais tout ça plus longuement ce soir.

 

En attendant pour que tu ne perdes pas ton temps, tu peux faire un scan en ligne (si tu as retrouvé ta connexion) :

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Si tu n'as toujours pas de connexions, et que tu as possibilité de poster d'un autre pc, tiens moi au courant.

 

A ce soir.

[Ludo73]

Salut !

 

Décidement c'est difficile d'avoir accès à Internet... Bref, je n'ai toujours pas de connexion pour mon portable donc il m'est impossible d'effectuer un scan en ligne.

En plus, étant étudiant, je finis mon stage demain et j'enchaîne avec un déménagement, ce qui fait que je n'aurais plus de connexion Internet depuis mon portable. Par contre, j'aurais accès à Internet depuis un autre ordinateur jusqu'à vendredi soir, après quoi je pars en vacances jusqu'à fin août (période pendant laquelle je n'aurais, normalement, plus du tout accès à Internet).

 

Du coup, je pense pouvoir effectuer ce scan en ligne qu'à la fin du mois d'août.

 

Voilà, je sais pas si je peux quand même faire quelque chose d'ici là. J'attends ta réponse.

 

A+

[Gof]

Bonsoir Ludo73,

 

Bigre, jusqu'à vendredi ? Bien bien, on va essayer de finir avant alors. Bon dans un premier temps, on va te faire récupérer ta connexion internet.

 

Télécharge les éléments suivants et bascule les sur ton portable si cela t'es possible en les copiant/collant sur une clé usb, cd, etc.

 

- LSPfix -> http://www.downloads.subratam.org/lspfix.zip ou http://www.cexx.org/lspfix.htm

- Winsockfix -> http://www.greyknight17.com/spy/WinsockFix.zip

- Chercher.zip (de Malekal Morte) -> http://www.malekal.com/download/telecharger.com/chercher.zip

 

Oups ! Désinstalle impérativement un de tes 2 pare-feux ! Cela ne peut qu'engendrer des problêmes (Sygate ou Zone Alarm).

 

1. Démarre LSPFix

Coche 'I know what I'm doing'

Clique sur 'Finish'.

 

2. Si tu n'as toujours pas de connexions, fais ceci (sinon passe au 3 tout de suite) : Décompresse Winsockfix sur le burau, et clique sur 'Fix'

 

3. chercher.zip

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
  
• Un nouveau dossier chercher va être créé
  
• Ouvre le et double-clic sur chercher.cmd
  
• Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
  
• Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
  
• A nouveau menu Edition / copier
  
• Dans un nouveau message ici, faire un clic droit / coller
  

4. Exécute ton scan Panda en ligne, comme demandé précédemment. Pour rappel :

Fais un scan en ligne avec Panda, et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici. Si tu n'y arrives pas, tu trouveras un tuto ici. Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : adresse jetable.

 

Tiens moi au courant, à bientôt.

(merci Charles Ingals de ton coup d'oeil!)

Modifié le 10 août 2006 par Gof

[Ludo73]

Salut Gof !

 

Malheureusement je n'aurais pas le temps de faire les manip' que tu m'as indiquées. Là je suis complètement crevé et demain je pars en vacances.

Du coup, je vais laisser mon portable éteint pendant mes vacances et je le rallumerai à mon retour pour enfin faire ce scan en ligne.

 

Je te tiendrai au courant le moment venu, normalement à la fin du mois d'août, date à laquelle je rentre de vacances. En tous cas merci pour ton aide jusqu'à maintenant.

 

A bientôt !