HD enragé (et moi aussi)

[c.junior]

OK

à demain

 

c'est le log Antivir qui a été créé en Mode sans Echec...

 

je remets le log hijackthis mais c'est le même je crois...

en mode "normal" je suppose que tu veux donc bien dire le mode Windows complet (donc pas le Mode sans échec?). J'étais en Mode Windows normal pour Hijackthis... Je remets quand même le log

 

Logfile of HijackThis v1.99.1

Scan saved at 22:38:50, on 1/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\program files\regprot\regprot.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\hijackthis\cjunior.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {F39925E8-3668-4615-81B7-599A3424571B} - C:\WINDOWS\system32\awvvt.dll (file missing)

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [spywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [RegProt] c:\program files\regprot\regprot.exe /start

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1147543775046

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll (file missing)

O20 - Winlogon Notify: awvvt - C:\WINDOWS\system32\awvvt.dll (file missing)

O20 - Winlogon Notify: obbf115 - obbf115.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi253128.exe (file missing)

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Modifié le 1 septembre 2006 par c.junior

[tornado]

Re,

 

 

J'aimerais vérifier si l'infection par Vundo est toujours active. Fais ceci s'il te plaît :

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

 

 

A+

[c.junior]

en attendant que tu arrives j'avais refait un scan en Mode sans échec avec Antivir. Toutes les détections du 1er scan (donc de hier...) ont disparu sauf le Vundo justement. N'ayant pas à ce moment encore lu ton post précédant j'ai essayé de l'effacer (alors qu'Antivir me proposait de le mettre en 40aine).

 

 

 

j'ai voulu télécharger par le link que tu as mis et... "Ad blocked here by KPF"... c'est tout ce qu'il y a sur cette page.

[c.junior]

j'ai trouvé un autre link

 

http://www.atribune.org/downloads/VundoFix.exe

[c.junior]

j'ai dû trouver encore un autre link... rien n'allait...

 

pour finir j'ai télécharger FixVundo chez Symantec

 

je dois signaler que pendant l'activation de ce FixVundo, Antivir détectait un mailware.

 

voici le log

 

Symantec Trojan.Vundo Removal Tool 1.5.0

The process "iexplore.exe" might be affected by the threat. It has been suspended.

The process "iexplore.exe" might be affected by the threat. It has been suspended.

The process "iexplore.exe" might be affected by the threat. It has been terminated.

The process "iexplore.exe" might be affected by the threat. It has been terminated.

 

C:\System Volume Information: (not scanned)

D:\System Volume Information: (not scanned)

 

Trojan.Vundo has been successfully removed from your computer!

 

Here is the report:

 

The total number of the scanned files: 93491

The number of deleted files: 0

The number of viral processes terminated: 2

The number of viral processes suspended: 2

The number of viral threads terminated: 0

The number of registry entries fixed: 0

[tornado]

Re,

 

 

Arf ... bizarre que Kerio ait même bloqué le téléchargement (ad block by KPF).

 

Le fix de Symantec est innefficace pour cette infection. Il faut utiliser celui d'Atribune

 

Fais ceci :

 

- Double-clique sur l'icone de kerio dans la barre des tâches (le petit bouclier violet)

- Va dans l'onglet Internet

- Décoche la case "Activer le filtrage web"

- Clique sur le bouton Ok

 

Ensuite, réessaye de télécharger Vundofix depuis le lien donné dans mon dernier post.

 

 

PS : L'Onglet Internet ser adésactivé au bout de 30 j d'utilisation de toute façon. La désactivation de cette fonction ne nuit pas au bon fonctionnement du firewall

 

 

 

A+

[c.junior]

OK j'ai téléchargé et lancé VundoFix de Atribune ..

 

 

je dois signaler que Antivir a fait une alerte HEUR/mailware concernant VundoFix.exe juste au moment ou je voulais le télécharger.

 

 

 

 

Vundofix vient de terminer en annonçant qu'il n'a rien trouvé "done seaching for file. Not infected file were found"

[tornado]

Re,

 

 

 

Ok, cela signifie que l'infection vundo n'est plus pas active .

 

Je prépare une procédure, réponse dans 30 min.

 

 

A+

 

PS: Pour antivir, c'est un faux-positif. (fichier bien légitime mais détecté comme infectieux)

Tu peux supprimer vundofix.exe ; on n'en a plus besoin

Modifié le 2 septembre 2006 par tornado

[c.junior]

OK

merci

[tornado]

Re,

 

 

Avant toute chose, je dois t'avertir que les logiciels de p2p peuvent nuire à la sécurité de ton système. Lis cet article de Tesgaz pour t'en rendre compte => http://forum.zebulon.fr/index.php?showtopic=93281

D'autant plus que tu n'as pas choisis le plus "propre" d'entre eux... Kazaa installe en effet tout plein de "cochonneries". Je vais donc te le faire désinstaller

 

__________________________________________________________________

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande d'enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (ou .htm) (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

======================================================================

 

 

Etape 1 : Téléchargement / installation des outils nécessaires

 

=> Télécharge et installe les logiciels suivants, en suivant les instructions (si il y a)

 

- Ewido anti-malware d' Ewido Networks --> http://www.ewido.net/en/download/

-- Pour commencer, installe Ewido en suivant les instructions données par le logiciel

-- Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

-- Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

-- Ferme Ewido. Ne pas le lancer tout de suite.

- Le tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html

 

- ATF-cleaner d'Atribune--> http://www.atribune.org/public-beta/ATF-Cleaner.exe

-- Le logiciel ne nécessitant pas d'installation, tu peux le lancer directement, en double-cliquant dessus

-- Tu peux donc déplacer ATF-cleaner.exe sur le bureau (comme ça, tu l'as de suite "sous la main")

 

- Jv16 Powertools de Jouni Vuorio --> http://telechargement.zebulon.fr/201-jv16-powertools.html

-- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://speedweb1.free.fr/frames2.php?page=optimiser1 (situé en milieu de page)

 

 

Etape 2 : Redémarrage en mode sans échec

 

On va utiliser le mode sans échec pour éradiquer le reste des infections, car la plupart des malwares ne "démarrent pas" dans ce mode, ce qui facilite leur éradication :

 

- Va dans Démarrer > Arrêter l'ordinateur > choisis Redémarrer . Dès que la fermeture de Windows est terminée, le système commence à redémarrer (écran noir) puis le BIOS se charge. Commence dès cet instant à tapoter sur la touche [F8] ou [F5] (le faire plusieurs fois pour un meilleur taux de réussite ) jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuye sur [Entrée].)

 

- Le tuto si tu bloques sur quelque chose => http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

 

Etape 3 : Désinstallation des logiciels infectieux

 

Va dans démarrer > panneau de configuration > Ajouter ou supprimer des programmes. Sélectionne alors le programme suivant, et désinstalle-le en cliquant sur supprimer :

 

- Viguard (si tu trouves) => il n'est pas infectieux, c'est un "vrai" antivirus. Mais apparemment il n'est plus actif sur le système

- Kazaa 3.2.3

- P2P Networking => si tu trouves

- Shopper Reports => si tu trouves

 

 

 

Etape 4 : Désactivation / Suppression du service infectieux

 

* Désactivation

 

Va dans Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) recherche le service suivant:

 

Microsoft ASPI Manager

 

Quand le service est trouvé, pointe dessus, double-clique (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général clique sur le bouton Arrêter,

puis déroule le Type de Démarrage pour le modifier en Désactivé

Clique sur Appliquer puis OK

 

* Suppression

 

Lance Hijackthis, choisir Open the Misc.Tools section

la fenêtre "Configuration va s'ouvrir

clique sur Delete a NT service...

la fenêtre "Delete a Windows NT service" va s'ouvrir

Entre dans la zone de dialogue :

 

aspi113210

 

Note : assure-toi de ne mettre d'espace, ni avant, ni après !

cliquer OK

 

Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.

Cliquer NO

 

 

Etape 5 : Utilisation d'Hijackthis/Suppression des lignes infectieuses

 

- Lance Hijackthis, clique sur le bouton "do a system scan only", et coche les lignes suivantes (il se peut que certaines lignes aient pu disparaître après les étapes précédentes. Dans ce cas, n'en tiens pas compte) :

 

O2 - BHO: (no name) - {F39925E8-3668-4615-81B7-599A3424571B} - C:\WINDOWS\system32\awvvt.dll (file missing)

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

=> coche cette ligne uniquement si ce n'est pas toi qui a fixé des restrictions pour Internet Explorer

 

O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\system32\shdocvw.dll

 

O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll (file missing)

O20 - Winlogon Notify: awvvt - C:\WINDOWS\system32\awvvt.dll (file missing)

O20 - Winlogon Notify: obbf115 - obbf115.dll (file missing)

 

 

- Clique sur le bouton "Fix checked"

 

 

Etape 6 : Modification de l'affichage des fichiers/dossiers

 

A présent, on va modifier l'affichage des fichier et des dossiers, car la plupart du temps, les malwares "s'emparent" du statut de fichiers cachés ou fichier système pour mieux se cacher :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer le bouton radio : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

 

Etape 7 : Suppression des fichiers/dossiers infectieux

 

Depuis l'explorateur Windows :

 

 

 

=> Désenregistre les .dll infectieuses de cette manière :

 

- Va dans Démarrer >>> Exécuter

- Copie-colle la commande suivante en rouge :

regsvr32 /u C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

 

- Clique sur Ok

- Un message t'avertit du succès de l'opération

 

- Fais la même manip avec les commandes suivantes :

regsvr32 /u C:\WINDOWS\system32\awvvt.dll

regsvr32 /u C:\WINDOWS\system32\obbf115.dll

 

* Il se peut que la manip ne fonctionne pour aucune .dll, les fichiers ayant probablement disparu. Je te le fais faire uniquement par précaution.

 

 

=> Supprime les dossiers suivants (en gras) :

 

- C:\Documents and Settings\All Users\Documents

 

- C:\Program Files\Kazaa

- C:\Program Files\Shopper Reports (si tu trouves)

 

- C:\WINDOWS\system32\P2P Networking

 

 

=> Supprime les fichiers suivant, si ils existent encore (en gras) :

 

- C:\WINDOWS\System32\aspi253128.exe

- C:\WINDOWS\System32\awvvt.dll

- C:\WINDOWS\System32\obbf115.dll

 

=> Vide la corbeille

 

 

 

Etape 8 : Nettoyage des fichiers temporaires + registre

 

On va maintenant nettoyer ton système (avec les différents outils téléchargés), pour supprimer les éventuelles traces de malwares dans les dossiers temporaires (très fréquent) et les traces dans le registre, laissées par la suppression des fichiers. A noter que je te fais passer plusieurs outils, car ils sont complémentaires :

 

=> Avec ATF-cleaner (pour le nettoyage des fichiers temporaires uniquement)

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

 

=> Jv16 powertools (pour le nettoyage du registre uniquement)

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web )

 

 

Etape 9 : Scan avec Ewido

 

On va maintenant scanner ton système avec un anti-trojan/anti-spyware très performant, pour se débarasser des infections non repérées par Hijackthis :

• Lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
   
  
• Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.
   
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  

Etape 10 : Nettoyage du registre

 

On va à nouveau nettoyer ton registre avec Jv16, car la suppression des fichiers détectés par Ewido y a probablement laissé des traces. N'effectue pas cette étape si Ewido n'a rien détecté :

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

 

 

Etape 11 : Redémarrage en mode normal

 

- Redémarre en mode normal via le menu Démarrer > Arrêter l'ordinateur > Redémarrer (ne touche plus à F8 ou F5)

 

 

Etape 12 : Nouveau rapport Hijackthis

 

Génère un nouveau rapport Hijackthis (via "Do a system scan and save a logfile), copie-le, et colle-le dans ta prochaine réponse

 

======================================================================

 

Je récapitule pour les rapports que tu dois coller dans ta prochaine réponse :

 

- Le rapport d'Ewido

- Le nouveau rapport Hijackthis (généré en mode normal)

 

 

 

Du boulot en perspective... bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

Modifié le 2 septembre 2006 par tornado