[Résolu] : Virus Tenace

[LeNab]

Bonjour et bonne année à toutes et tous

 

Comme certains dont j'ai lu les spots, j'ai eu la bonne idée pendant la dernière quinzaine de l'année 2006 de reformater mon disque dur (après avoir contacter DELL, il m'ont conseillé de ne formater que la partition NTFS sur laquelle Windows était installé).

Depuis c'est la chienlit!!!!

1/ Ouverture intempestive de pages web du site AdultFinder

2/ Système presque quasiment figé avec des temps de réaction insupportables

3/ L'analyse en ligne par Kaspersky détecte un virus : Backdoor.win32.PoeBot.k, avec pas plus d'info dessus

4/ Mon Antivirus, tout nouveau tout beau, McAfee, ne le détecte pas

5/ Les performances et l'accès au web sont de pire en pire

 

Alors je décide ce soir de reformater de la même façon (partition NTFS uniquement) et d'être vigilant à tous ce que j'entreprends.

1/ Reformatage du DD

2/ Analyse en ligne Kaspersky

2.1/ Premier truc zarbi pendant l'analyse, message erreur général, l'ordinateur reboot et change de définition d'affichage

3/ J'installe McAfee, qui détecte aussitot un cheval de Troie qu'il nomme NEW MALWARE.J, j'ai cru comprendre que c'était un nom générique pour les virus inconnu

4/ Régulièrement, certaines fonctions de mcAfee sont désactivées automatiquement, je suis obligé de les réactivées manuellement

 

Voilà, j'en suis là et je ne sais pas comment m'y prendre pour tordre le cou de mon cheval.

 

Pouvez-vous me guider dans mon entreprise ?

 

Merci

Patrick

Modifié le 6 janvier 2007 par angelique

[WawaSeb]

Bonsoir LeNab,

 

# Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider !

 

# Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse...

 

 

1) Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Renomme HijackThis.exe en Vundo.exe

---> Lance-le

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

 

 

@ très vite !

[LeNab]

Bonsoir LeNab,

 

# Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider !

 

# Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse...

1) Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Renomme HijackThis.exe en Vundo.exe

---> Lance-le

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriels : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

@ très vite !

 

 

 

 

Bonjour WawaSeb,

je crois avoir fait ce que tu m'indiquais

 

Voilà le rapport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 06:51:05, on 05/01/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system\icrss.exe

C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\PROGRA~1\McAfee\MSC\mctskshd.exe

C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe

c:\PROGRA~1\mcafee.com\agent\mcagent.exe

c:\program files\mcafee\msc\mcshell.exe

C:\WINDOWS\system\dllhost.exe

C:\Program Files\SiteAdvisor\4979\SAService.exe

C:\Program Files\SiteAdvisor\4608\SiteAdv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HijackThis\hijackthis_199\Vundo.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\4979\SiteAdv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptcl.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\4979\SiteAdv.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\dfohd.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe

O4 - HKLM\..\Run: [siteAdvisor] C:\Program Files\SiteAdvisor\4979\SiteAdv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\4979\SiteAdv.dll

O23 - Service: Application Layer Gateway Services - Unknown owner - C:\WINDOWS\alg.exe (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINDOWS\system\dllhost.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe

O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe

O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\4979\SAService.exe

 

Je viens de constater, que mon cher Hôte désactive régulièrement la mise à jour automatique de mon antivirus

De plus, il m'empêche de configurer le compte messagerie de mon provider

 

Voilà

A+ et merci pour ton aide

[WawaSeb]

Bonjour LeNab,

 

 

*** Ton rapport présente des traces d'infections ! ***

 

 

1) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

 

O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\dfohd.exe

 

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe

 

 

2) Clique sur "démarrer" -> "Exécuter" -> tape sans les guillemets "services.msc" (+OK), clique sur l'onglet "étendu" (en bas à gauche), puis avec le bouton droit sur "Application Layer Gateway Services " (propriétés, général, type de démarrage : DESACTIVE)

 

 

3) Clique sur "démarrer" -> "Exécuter" -> tape sans les guillemets "services.msc" (+OK), clique sur l'onglet "étendu" (en bas à gauche), puis avec le bouton droit sur "icrss manager 32bit (icrss)" (propriétés, général, type de démarrage : DESACTIVE)

 

 

4) Supprime les fichiers suivants (si présents)

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\WINDOWS\System32\spooIsv.exe
  
• C:\WINDOWS\System32\dfohd.exe
  
• C:\WINDOWS\System32\lssas.exe (Attention, recherche bien Issas.exe et SURTOUT PAS LSASS.EXE !)
  

5) Télécharge Blacklight (de F-Secure)

 

et sauvegarde-le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse ainsi qu'un nouveau rapport HijackThis !

 

 

Bon travail à toi !

 

Modifié le 5 janvier 2007 par WawaSeb

[LeNab]

Hello WawaSeb,

j'ai suivi tes instructions jusqu'au point 4/

là voici ce qui est arrivé :

1/ Impossible de supprimer c:\WINDOWS\System32\spooIsv.exe

2/ je n'ai pas trouvé les autres fichiers

 

J'ai remarqué quand j'ai lancé HijackThis de nouvelles lignes du même type O4 - HKLM\............

 

Faut-il quand même passer à l'étape 5 (Blacklight) ?

 

Merci

LeNab

[angelique]

LeNab, en attendant le retour de WawaSeb,

 

1/Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

 

http://downloads.andymanchesta.com/RemovalTools/SDFix.zip

 

2/Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

 

* En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire vers SDFix.zip,ou extraire ici

* Ouvre le dossier SDFix qui vient d'être créé à coté et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le script.

* Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

* Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! ainsi que le rapport blacklight pour WawaSeb.

[WawaSeb]

Bonsoir angelique, LeNab,

 

 

*** LeNab, suis bien les instructions de angelique... ***

 

angelique : je te remercie pour ton intervention efficace et rapide, tu peux continuer sur ce log si tu veux ; je ne pourrai répondre avant demain après-midi !

 

 

A vous deux, je souhaite une toute bonne après-midi / soirée / nuit / matinée demain !

 

 

[LeNab]

Merci à vous deux,

je m'y attèle

Je spot au plus vite

 

LeNab

[LeNab]

Voilà j'ai fini les différentes actions :

1/SDFIX en mode sans échec

2/Nouveau HijackThis

3/Blacklight

 

J'ai ce pendant l'impression d'avoir encore des traces : désactivation automatique de McAfee

 

Voilà les rapports :

 

SDFIX

SDFix: Version 1.54

****************

 

05/01/2007 - 17:38:21,43

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Stage One - Safe Mode

 

Checking Services...

 

Service Name:

 

icrss

 

File Path:

 

"C:\WINDOWS\system\icrss.exe"

 

icrss Deleted...

 

Starting Registry Repairs...

 

C:\WINDOWS\system32\Microsoft\backup.ftp Found...

C:\WINDOWS\system32\Microsoft\backup.tftp Found...

 

Checking files:

 

Genuine files:

 

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

 

Dummy files:

 

C:\WINDOWS\system32\ftp.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\system32\dllcache\ftp.exe

C:\WINDOWS\system32\dllcache\tftp.exe

 

All Files copied to the SDFix\Backups folder,

 

Restoring files if backups are located...

 

Final Check:

 

Genuine files:

 

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

C:\WINDOWS\system32\ftp.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\system32\dllcache\ftp.exe

C:\WINDOWS\system32\dllcache\tftp.exe

 

Dummy files:

 

 

 

Restoring Default Hosts File...

 

Stage One Complete

 

Rebooting...

 

Stage Two - Normal Mode

 

Checking For Malware:

--------------------

 

C:\WINDOWS\system\dllhost.exe

C:\WINDOWS\system\icrss.exe

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

C:\WINDOWS\system32\TFTP3240

 

Backing Up and Removing any Files Found...

 

Alternate Stream Check:

 

C:\WINDOWS\system32

No streams found.

Final Check:

 

Remaining Services:

------------------

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"c:\\efes.exe"="c:\\efes.exe:*:Enabled:Server"

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"c:\\efes.exe"="c:\\efes.exe:*:Enabled:Server"

 

 

Remaining Files:

---------------

C:\WINDOWS\system\dllhost.exe

 

Backups Folder: - C:\SDFix\backups\backups.zip

 

Checking for files with Hidden Attributes:

 

C:\NTDETECT.COM

C:\WINDOWS\system32\cdplayer.exe.manifest

C:\WINDOWS\system32\logonui.exe.manifest

C:\WINDOWS\system32\ociyh.exe

C:\IO.SYS

C:\MSDOS.SYS

C:\pagefile.sys

 

FINISHED!

 

HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 17:46:48, on 05/01/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system\dllhost.exe

C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\PROGRA~1\McAfee\MSC\mctskshd.exe

C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\Program Files\SiteAdvisor\4979\SAService.exe

C:\Program Files\SiteAdvisor\4979\SiteAdv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

c:\PROGRA~1\mcafee.com\agent\mcagent.exe

c:\program files\mcafee\msc\mcshell.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Maison\Bureau\Vundo.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\4979\SiteAdv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptcl.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\4979\SiteAdv.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [siteAdvisor] C:\Program Files\SiteAdvisor\4979\SiteAdv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\4979\SiteAdv.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Windows Host Services (DLLHOST32) - Unknown owner - C:\WINDOWS\system\dllhost.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe

O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\4979\SAService.exe

 

 

BlackLight

 

01/05/07 17:47:20 [info]: BlackLight Engine 1.0.55 initialized

01/05/07 17:47:20 [info]: OS: 5.1 build 2600 (Service Pack 1)

01/05/07 17:47:20 [Note]: 7019 4

01/05/07 17:47:20 [Note]: 7005 0

01/05/07 17:48:28 [Note]: 7006 0

01/05/07 17:48:28 [Note]: 7011 1468

01/05/07 17:48:28 [Note]: 7026 0

01/05/07 17:48:28 [Note]: 7026 0

01/05/07 17:48:31 [Note]: FSRAW library version 1.7.1021

01/05/07 17:49:41 [Note]: 7007 0

 

 

Je suis désolé pour cette lecture indigeste que je vous impose

Merci

A+

LeNab

[angelique]

supprime blacklight(blbeta.exe)& son rapport, ainsi que SDFix

tu as un persistant, qui pourtant ne devrait plus etre là:

Checking For Malware:

--------------------

 

C:\WINDOWS\system\dllhost.exe

Backing Up and Removing any Files Found...

 

1/executer

 

services.msc

 

double clic sur le service ci dessous,"type de demarrage"=désactivé, clic onglet "arreter"

 

Windows Host Services (DLLHOST32) - Unknown owner - C:\WINDOWS\system\dllhost.exe

 

2/Télécharge et installe les logiciels suivants au préalable

 

- AVG anti spyware --> http://www.ewido.net/en/download/

- Fais la mise à jour

 

- AtfCleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe et met le sur ton bureau

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Lis et imprègne toi du tuto "nettoyer le registre", car tu ne pourras pas y accéder en mode sans échec --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

3/relance hijackthis "do a system scan only" , puis coche et clic fix checked uniquement ces lignes:

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

 

4/Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

****assures toi que dossiers et fichiers cachés sont affichés via poste de travail/outils/option des dossiers/affichage et supprimes les fichiers/dossiers en gras:

 

C:\WINDOWS\web\related.htm

C:\WINDOWS\system\dllhost.exe

 

****executer/regedit et va supprimer le dossier en gars:

HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\Windows Host Services (DLLHOST32)

 

***Nettoie ton système avec Jv16 powertools, Easycleaner et ATF-cleaner, puis AVG anti-spyware

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

 

Jv16 powertools

 

-Nettoie ton registre selon ce tuto --> http://www.zebulon.fr/articles/base-de-registre-3.php

 

--->Ne supprime que les ronds verts repérés à la fin du scan, aide toi des onglets "trier....","selectionner/selection speciale"pour virer les cles obsoletes.

Si tu remarques une inactivités de JV16 au nettoyage, prière de le fermer completement,puis de le relancer et de renouveler l'opération

 

 

 

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

Fais un scan avec avg:

 

AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier est infecté détécté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau que tu posteras dans ta prochaine réponse pour Wawaseb.

 

5/reboot normal

 

Fais une analyse antivirus en ligne sur le site de Kaspersky

http://webscanner.kaspersky.fr/

 

~ Clique sur Online Scanner.

~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

 

~Sélectionne le poste de travail comme analyse.

 

~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

 

************poste un nouveau rapport hijackthis, aisi que le rapport kaspersky et le rapport AVG antispyware afin que Wawaseb les analysent