[Résolu] Problèmes Malwares

[Mark]

Coucou Mykerinos

 

Ce fichier : C:\WINXP\system32\pidjypum.dll devrait normalement être supprimable en mode Normal, vu que l'infection Vundo active a été tuée. Si le fichier refuse de quitter, alors le supprimer du mode Sans Échec

 

La ligne O4 associée devra être fixée également (en Normal aussi).

 

Zoin : j'attire ton attention sur mon post #18 ^^.

 

Merci, et bonne continuation à vous deux

[Mykerinos]

Zoin, il est important d'uploader ce fichier pour augmenter l'efficacité de Vundofix ...

 

N'oublie pas de le faire avant suppression ...

 

As-tu vidé tes dossiers temporaires ?

[Zoin]

Zoin, il est important d'uploader ce fichier pour augmenter l'efficacité de Vundofix ...

 

N'oublie pas de le faire avant suppression ...

 

As-tu vidé tes dossiers temporaires ?

 

 

Bonjour à vous deux,

 

 

En effet, le post #18 m'avait échappé...

Comme vous me l'avez demandé, j'ai uploadé le fichier (c'est bien la moindre des choses quand on utilise les logiciels ).

 

Le fichier ne s'est pas supprimé en mode normal, j'ai du repasser en mode sans échec et là aucun problème! La ligne est bien supprimée et n'apparait plus sous HijackThis

 

Pour le vidage des fichiers temporaires, je crois que CCleaner l'a fait (système --> supprimer fichiers temporaires).

 

En fait il faut que je rende le PC demain (oui, oui, on me demande des coups de mains pas évidents ), alors je voulais s'il y avait encore des petites choses à régler avant.

Au pire, je pense qu'après les fêtes je pourraient encore passer faire quelques manips s'il y a encore à nettoyer).

Modifié le 29 décembre 2006 par Zoin

[Mark]

Rebonsoir vous deux,

 

Merci pour l'upload du fichier ; il est bien chez Uploadmalware

 

Ce dernier représente possiblement une toute nouvelle variante de Vundo, alors le développeur appréciera de l'avoir sous la dent

 

J'espère ne pas avoir trop semé la confusion avec mes interventions plutôt rapides

 

Zoin : si tu ne sais plus trop quoi faire à ce stade-ci, poste un nouveau log HijackThis! et nous pourrons te prescrire la suite avec un peu plus de méthodologie (c'est moi qui ai brisé le tempo..). De toute façon, nous aimerions voir un nouveau log HijackThis! peu importe où tu en es.

 

Merci, et @+

 

Mark.

[Zoin]

Voila le nouveau HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:18:14, on 29/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\spoolsv.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINXP\system32\VTTimer.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE

C:\PROGRA~1\MESSAG~1\demon.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\USB Product Driver v2.34r017\shwicon.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\WINXP\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\ScanPanel\ScnPanel.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\WINXP\system32\wuauclt.exe

C:\Documents and Settings\celine\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINXP\system32\ahtjuxwf.dll (file missing)

O2 - BHO: (no name) - {9BC958DA-2F9B-4B5B-8E84-D1CB623518D4} - C:\WINXP\Registration\smvcvdd.dll (file missing)

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"

O4 - HKLM\..\Run: [instantAccess] "C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE" /h

O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\demon.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [showIcon_Module-B_USB Product Driver v2.34r017] "C:\Program Files\USB Product Driver v2.34r017\shwicon.exe" -t"Module-B\USB Product Driver v2.34r017"

O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...926/mcfscan.cab

O20 - Winlogon Notify: WRNotifier - C:\WINXP\SYSTEM32\WRLogonNTF.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[Mark]

Bien joué Zoin

 

Nous avons posté en même temps, donc je n'avais pas lu ton dernier post.. Merci pour le log HijackThis!

 

On va te faire un petit nettoyage ;

==========================

 

Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

 

--------------------------------

O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINXP\system32\ahtjuxwf.dll (file missing)

O2 - BHO: (no name) - {9BC958DA-2F9B-4B5B-8E84-D1CB623518D4} - C:\WINXP\Registration\smvcvdd.dll (file missing)

--------------------------------

 

Ferme toutes les autres fenêtres ouvertes, sauf HijackThis!, et clique "Fix checked".

 

Voilà pour l'instant.

 

Tu peux revenir après les Fêtes s'il y a des dysfonctionnements avec le PC. Nous pourrions sécuriser le tout un brin également. Le prog BitDefender qui est installé est-il une suite avec parefeu ou juste un antivirus ? Impossible de savoir en consultant le rapport HijackThis!.. Pour l'instant, tu as les boucliers de Spy Sweeper qui protègent assez bien contre les spywares, mais ça ne durera que deux semaines. On pourra te suggérer d'autres progs

 

Elle tourne bien la bécane ?

 

@+

[Zoin]

Bien joué Zoin

 

Nous avons posté en même temps, donc je n'avais pas lu ton dernier post.. Merci pour le log HijackThis!

 

On va te faire un petit nettoyage ;

==========================

 

Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

 

--------------------------------

O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINXP\system32\ahtjuxwf.dll (file missing)

O2 - BHO: (no name) - {9BC958DA-2F9B-4B5B-8E84-D1CB623518D4} - C:\WINXP\Registration\smvcvdd.dll (file missing)

--------------------------------

 

Ferme toutes les autres fenêtres ouvertes, sauf HijackThis!, et clique "Fix checked".

 

Voilà pour l'instant.

 

Tu peux revenir après les Fêtes s'il y a des dysfonctionnements avec le PC. Nous pourrions sécuriser le tout un brin également. Le prog BitDefender qui est installé est-il une suite avec parefeu ou juste un antivirus ? Impossible de savoir en consultant le rapport HijackThis!.. Pour l'instant, tu as les boucliers de Spy Sweeper qui protègent assez bien contre les spywares, mais ça ne durera que deux semaines. On pourra te suggérer d'autres progs

 

Elle tourne bien la bécane ?

 

@+

 

Ok, pour le moment le PC en question est éteint donc ça sera pour demain matin

Le BitDefender est parfefeu+antivirus (version payante), donc je me demande quand même comment ils ont réussi à choper ça...

 

La bécane tourne moyen mais le fait est qu'elle commence à dater, donc elle rame pas mal. Je leur dirait de faire un petit scandisk et une defrag.

 

Donc d'installé, je leur laisse Le BitDefender (firexall+ antivirus), et éventuellement CCleaner pour qu'ils nettoyent de temps en temps?

[Mark]

Bon matin

 

Bon Ok, vu que ce n'est pas ta bécane, je ne posterai pas de long discours de prévention/sécurisation. Allons-y avec l'essentiel par contre ;

 

La suite BitDefender est très bonne, donc on la laisse ; assure-toi simplement qu'elle se met à jour correctement (MAJs automatiques).

 

Pour CCleaner ; très bon tool à utiliser fréquemment. Par contre, lorsque je regarde les logs, je constate qu'il y a plusieurs fichiers infectés qui auraient dû être virés par ce dernier. Le mode Sans Échec est à prescrire pour la suppression des "temp" lorsque la bécane est infectée (en Normal sinon). As-tu bien suivi le tuto proposé par Mykerinos ici ? :

http://www.tutopat.com/viewtopic.php?t=305

 

Juste une petite option que j'aime bien modifier avec ce tool par contre :

 

- Lance l'outil et clique sur "Options" (au haut à droite), puis sur l'onglet "Propriétés"

- Décoche : "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures".

 

Je regarde ma version ici, et je constate qu'elle est bien différente de celle dans le tuto... Donc ici, l'option dont je te parle se modifie comme ceci :

 

- Lance l'outil et clique sur "Options" (à gauche), puis sur "Avancé"

- Décoche : "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures".

-------------------------------------------------------------------------------

 

Pourquoi ont-ils chopé ce truc ? Bonne question... Les meilleures protections ne suffisent pas à tout stopper. La porte d'entrée est souvent le doigt qui se pose sur la souris, au mauvais endroit au mauvais moment.. Même le meilleur parefeu ne peut rien faire lorsqu'une règle est créée, souvent par mégarde ou par témérité. Certains fichiers sont tellement virulents qu'ils peuvent déjouer presque tous les bloqueurs. Par contre, de bonnes protections font beaucoup, et protègent contre plusieurs bestioles. En surfant prudemment, avec de bonnes protections, les risques sont quasi zéro. Les cracks, sites de cracks et fichiers téléchargés par P2P sont à éviter comme la peste...

 

Ceci dit, je te suggère donc de leur installer un anti-spy gratuit avec boucliers ; je pense à Windows Defender, qui n'est peut-être pas le plus fort, mais vu que je fais affaire avec toi et non eux... je préfère y aller avec du gratos plutôt qu'avec un prog qui devient payant et qui risque d'être désinstallé rapidement. Voici le lien :

http://www.microsoft.atat.at/switzerland/a...re/default.mspx

 

Si tu l'installes, tu devras désinstaller Spy Sweeper ; deux anti-spy avec boucliers peuvent entrer en conflit.

 

Je leur conseille également SpywareBlaster (en version gratuite) :

http://www.javacoolsoftware.com/spywareblaster.html

 

Celui-là "immunise" contre plusieurs bestioles, sans tourner en arrière-plan. Tout ce qu'il faut faire, c'est de le mettre à jour aux deux semaines, environ, puis on le ferme.

----------------------------------------------------

 

J'arrête là pour les outils.

 

Des problèmes à désactiver la Restauration système ? Hmmm... La petite case "Désactiver la Restauration du système sur tous les lecteurs" est bien cochée ? Étrange..

 

Pour ce qui est du scandisk et defrag : excellent Je constate également que Windows a été réinstallé dans un répertoire autre que C:\Windows

C'est souvent un signe qu'il y a eu des problèmes majeurs avec le système auparavant... faudrait peut-être envisager une réinstallation "propre" (avec formatage) dans un avenir pas trop lointain, si la lenteur persiste.

 

Voilà

 

Si questions ou problèmes, te gênes surtout pas.

 

Et je salue Myk au passage pour l'excellent travail

 

@+

Modifié le 30 décembre 2006 par Qc001

[Zoin]

Oui, la restauration est bien désactivée (il me le signale quand j'ouvre l'utilitaire et la case est cochée).

 

Pour ce qui est des fichiers temp de -48h, c'est vrai que c'est curieux, d'autant plus que du coup, il m'a enlevé un bon nombre de dll.

Pour le tuto je l'ai respecté!!

 

En attendant, je vous souhaite une bonne année et un grand merci à Mykerinos et Qc001, robins des bois des temps modernes, pour leurs conseils et instructions très très utiles !!!

[Mykerinos]

Re ...

 

Désolé de n'avoir pu finir mais le boulot à 6h m'empêche de veiller tard ...

 

Merci à Mark, expert s'il en est, d'avoir terminé la procédure et d'avoir prodigué les derniers conseils et explications ...

 

Bonnes fêtes à vous deux ...

 

Tu peux éditer le titre du sujet en mettant [résolu] devant ...

 

A+