[Résolu] Désinfection PC récalcitrante

[maxr397]

voici le startuplist :

StartupList report, 28/11/2006, 20:00:04

StartupList version: 1.52.2

Started from : C:\Documents and Settings\Maxime\Bureau\desinfection\maxr397.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\BitDefender8\bdmcon.exe

C:\Program Files\BitDefender8\bdoesrv.exe

C:\program files\bitdefender8\bdnagent.exe

C:\Program Files\D-Tools\daemon.exe

D:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

D:\Program Files\PCTV Remote\bin\winremote.exe

D:\Program Files\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\BitDefender8\vsserv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\taskmgr.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\MeuhMeuhTV\MeuhMeuhTV.exe

C:\Documents and Settings\Maxime\Bureau\desinfection\maxr397.exe

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Startup:

[C:\Documents and Settings\Maxime\Menu Démarrer\Programmes\Démarrage]

Raccourci vers winremote.lnk = D:\Program Files\PCTV Remote\bin\winremote.exe

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

NVRaidService = C:\WINDOWS\System32\nvraidservice.exe

BDMCon = C:\Program Files\BitDefender8\bdmcon.exe

BDOESRV = C:\Program Files\BitDefender8\bdoesrv.exe

BDNewsAgent = "C:\Program Files\BitDefender8\bdnagent.exe"

DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

!AVG Anti-Spyware = "D:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

 

--------------------------------------------------

 

Load/Run keys from C:\WINDOWS\WIN.INI:

 

load=*INI section not found*

run=*INI section not found*

 

Load/Run keys from Registry:

 

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Browser Helper Objects:

 

(no name) - D:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - D:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

(no name) - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[CKAVWebScan Object]

InProcServer32 = C:\WINDOWS\System32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll

CODEBASE = http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

 

[bDSCANONLINE Control]

InProcServer32 = C:\WINDOWS\DOWNLO~1\oscan8.ocx

CODEBASE = http://www.zebulon.fr/scan8/oscan8.cab

 

[WUWebControl Class]

InProcServer32 = C:\WINDOWS\System32\wuweb.dll

CODEBASE = http://update.microsoft.com/windowsupdate/...b?1163865510171

 

[ActiveScan Installer Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll

CODEBASE = http://acs.pandasoftware.com/activescan/as5free/asinst.cab

 

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\Flash9b.ocx

CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

 

--------------------------------------------------

End of report, 6 461 bytes

Report generated in 0,125 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

[bruce lee]

re,

 

1/-Télécharge la dernière version de Killbox ici=>

 

http://www.killbox.net/downloads/KillBox.exe

 

2/-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

3/-Lance Pocketkillbox,choisis l'option Delete on reboot

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOW\System32\irdvxc.exe

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

 

 

4/supprime ensuite ce dossier C:\ !KillBox

 

5/ telecharge:

_zone alarm que tu peux télecharger ici http://www.zonelabs.com/store/content/cata...&lid=nav_za

_tuto pour zone alarm ici http://forum.telecharger.01net.com/microhe...messages-1.html

 

installe le puis mets le à jour si necessaire.

 

6/ Une fois fait met a jour ton windows

 

Windows Update

 

 

@+ et dis moi si tu as de nouvelles detections par ton antivirus.

[maxr397]

Bonjour,

donc avec killbox, si je fait le tuc standart i lme dit que le fichier n'existe pas. Si je coche la case File will be Deleted on Next Reboot j'ai droit à "PendingFileRenameOperations Registry Data has been Removed by External Process!" et donc ca ne reboot pas.

 

pour zone alarm, j'ai déjà un firewall avec bitdefender. Tu pense qu'il faut quand meme que j'installe zone alarm ?

[bruce lee]

bonjour,

 

ce n'est pas bit defender pro qui fait firewall? toi tu n'as pas le pro si? Si tu es sur qu'il fait firewall oublie zone alarm et fait la suite de la procedure

 

@+ bon courage

Modifié le 29 novembre 2006 par bruce lee

[maxr397]

j'ai le 8 pro plus qui fait effectivement firewall.

pour la procédure

killbox, si je fait le truc standart il me dit que le fichier n'existe pas. Si je coche la case File will be Deleted on Next Reboot j'ai droit à "PendingFileRenameOperations Registry Data has been Removed by External Process!" et donc ca ne reboot pas.

 

Qu'est ce que je doit faire ?

Mettre quand meme à jour windows ... ? je pense pas que ca va résoudre mon pb ...

Modifié le 29 novembre 2006 par maxr397

[bruce lee]

re,

 

refais une nouvelle fois une recherche sur ce fichier, et si il n'est pas present met a jour ton windows

 

Mettre quand meme à jour windows ... ? je pense pas que ca va résoudre mon pb ...

 

Tes bestioles peuvent eventuellement revenir suite a un "troue" de sécurité et toi tu en as un donc vaut mieux le comblé et de plus ca ne pourra pas faire de mal.

[maxr397]

ok, merci pour toutes tes réponses.

pour le windows j'ai essayer de mettre à jour iexplorer mais je ne peut pas tout mettre à jour ...

là ce deviens vraiment de plus en plus critique : je suis obligé de rebooter au bout de 5 min car y a un truc qui répond pas...

[bruce lee]

re,

 

pour le windows j'ai essayer de mettre à jour iexplorer mais je ne peut pas tout mettre à jour ..

 

fait petit a petit si il le faut

 

As tu fais la recherche sur le fichier? l'as tu trouvé?

[maxr397]

le fichier est toujours introuvable.

J'ai meme refait un scan kaspersky pour c: et il n'a rien trouvé.

[bruce lee]

re,

 

On va verifier si il est present avec SDFIX:

 

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8.
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
  
• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le script.
  
• Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.