Vous reprendrez bien un p'tit virus

[mcyann]

Bonjour a tous,

Voila, je sollicite votre aatention sur un pb que j'ai.

On m'a confié un ordi qui semblait verolé.

J'ai sorti le disque dur et scanné avec avast a partir d'un autre poste, il y avait des dizaines de virus et trojan.

J'ai ensuite passé avg anti-spyware 7.5, et il y avait 226 infections, dont 6 grave.

Je remonte le disque dans le poste, mais j'ai toujours un soucis avec.

J'ai une fenetre qui s'affiche en clignotant dans le coin superieur gauche de l'ecran, je pense que c'est une fenetre de IE, et la souris se replace a un point de l'ecran a chaque clignotement, rendant son utilsation impossible. Ca me fait penser fortement a un dialer, mais pas moyen de l'eradiquer avec les outils que j'ai...

Et comme il n'est pas possible de faire quoi que ce soit avec cet ordi, je peut pas passer hijack dessus...

Que me conseillez vous??

D'avance un grand merci!

[Zonk]

Allo

Normalement ca commence avec ca...

http://forum.zebulon.fr/index.php?showtopic=83986

Bye

[Thanos]

salut

 

Il est possible que ton windows soit endommagé ! est ce que tu as pensé à faire une réparation de windows sans perte de données? La technique toute simple => http://jc.bellamy.free.fr/fr/windows2000.html#repair

Si tu as le cd d'XP n'hésite pas, bon courage

(par curiosité arrives tu a démarrer en mode sans échec? )

 

Edit:salut zonk

Modifié le 6 décembre 2006 par charles ingals

[mcyann]

salut,

Non, je n'arrive pas a demarrer en mode sans echec, il commence a charger puis reboot...

Bon, je vais aller voir le site de bellamy.

merci pour ton intervention!

[mcyann]

Allo

Normalement ca commence avec ca...

http://forum.zebulon.fr/index.php?showtopic=83986

Bye

Salut Zonk,

Ben je veux bien commencer avec "ça", mais c'est pas possible, pas de mode sans echec, pas possible de prendre la main sur l'ordi en mode normal....

D'ou mon post

[mcyann]

Bonjour a tous,

Alors, pour la suite des evenements :

J'ai reparé XP, toujours le même pb....

Mais maintenant le mode sans echec fonctionne, donc, j'ai un rapport hijack que je vous soumet....

 

Logfile of HijackThis v1.99.1

Scan saved at 09:58:03, on 08/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Philippe\Bureau\philippe.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorun

O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [services] C:\WINDOWS\Services.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_01\bin\npjpi141_01.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

Voila, si vous pouviez m'aider sur ce coup la, ce serait cool, je rame vraiment!

[mcyann]

Bon, vous cassez pas la tête, je pense que j'ai trouvé...

A priori je dirais le programme anyDVD qui voulait absolument se mettre a jour, et qui ouvrait cette fenetre ie plusieurs fois par seconde...

J'etais tellement persuadé que c'etait un virus que je ne l'ai jamais autorisé a se connecter sur internet...

En tout cas j'ai quand même trouvé sur cet ordi 956 fichiers infecté par des virus et 226 adware, spyware et autre malware! C'est pas mal!!

[angelique]

je ne pense pas que ton probleme soit resolu vu:

 

O4 - HKLM\..\Run: [services] C:\WINDOWS\Services.exe

 

Name Windows

Command services.exe

Status X

Description Added by the W32.Sober.X WORM! Note: This is not the legitimate Windows process services.exe (Which is always found in the System32 folder.) This worm file is found in the Windows\WinSecurity or Winnt\WinSecurity folder.

 

comme c'est bien dit en gras,services.exe est legitime uniquement en %systemroot%\system32 et non en %windir%

 

ainsi que :

 

O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe

 

 

Name key2

Command winlog.exe

Status X

Description Added by the Troj/BagleDl-AL TROJAN!

 

Un membre securité devrait intervenir sur ton sujet^^

[mcyann]

Salut,

OK, sans doute qu'il reste des traces de bebetes qu'il faudrait nettoyer, mais quand je dis que c'est bon, c'est que le pb primaire est resolu et je peux enfin utiliser l'ordi....

Sinon, j'avais bien pensé que le winlog était de trop... mais je savais pas trop quoi faire...

Merci pour ton intervention!