"Virus Spysheriff et autres trojans"[Résolu]

[bruce lee]

re,

 

Bon bin je pense mission formatage.....

 

Non! pas de formatage!

 

fais un clique droit sur hijackthis.exe puis choisis renommer et appelle le felipe .

 

lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.

[felipe]

Salut Bruce,

 

En fait hier mon pc était completement bloqué donc j'ai été obligé de formater et réinstaler je ne pouvais plus démarrer,

alors j'ai formaté et acheter directement en ligne Fsecure 2007(cher mais je veux etre au point niveau securité.

 

Une fois installé j'ai fait une analyse et il a trouvé :

 

Rapport d'analyse

mercredi 24 janvier 2007 23:34:30 - 00:09:50

 

Nom de l'ordinateur: NOM-FB9B15D2723

Type d'analyse: Effectuer une analyse complète de l'ordinateur

Cible : C:\ D:\ + système + rootkits

Résultat

Aucun antiprogramme détecté

 

Programme à risque détecté

RiskTool.Win32.PsKill (riskware)

 

* C:\hp\bin\KillWind.exe Action : supprimé

 

Statistiques

Analysés:

 

* Fichiers: 101062

* Non analysés: 4

 

Résultat:

 

* Virus: 0

* Logiciel espion: 0

* Eléments suspects: 0

* Programme à risque: 1

 

Actions:

 

* Nettoyés: 0

* Renommés: 0

* Supprimés: 1

* Quarantaine: 0

* Echec: 0

 

Secteurs d'amorçage:

 

* Analysés: 1

* Infectés: 0

* Eléments suspects: 0

* Nettoyés: 0

 

Fichiers non analysés:

 

* Erreur d'ouverture du fichier C:\PAGEFILE.SYS.

* Erreur d'ouverture du fichier C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.

* Erreur d'ouverture du fichier C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{F544479D-60A9-48C0-ADE3-36DCD1ADDACE}.BIN.

* Erreur d'ouverture du fichier C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTS\TV ENREGISTRéE\TEMPREC\TEMPSBE\MSDVRMM_748962223_131072_48423.

 

Options

Version des définitions:

 

* Virus: 2007-01-24_05

* Logiciel espion: 2007-01-24_05

 

Moteurs d'analyse :

 

* F-Secure AVP: 6.00.171, 2007-01-24

* F-Secure Libra: 2.04.01, 2007-01-23

* F-Secure Orion: 1.02.37, 2007-01-24

* F-Secure Draco: 1.00.35, 2007-01-17

* F-Secure BlackLight: 1.00.53

 

Options d'analyse :

 

* Analyser les fichiers définis : COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML AVB BAT CEO CMD LSP MAP MHT MIF PHP POT WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX

* Analyser le contenu des archives

 

Actions:

 

* Virus: Interroger après analyse

* Logiciel espion: Interroger après analyse

 

Copyright © 1998-2006 Assistance produit | Envoi d'un échantillon de virus à F-Secure

F-Secure n'assume aucune responsabilité quant au matériel créé ou publié par une tierce partie et référencé par un lien dans les pages Web de F-Secure. Sauf mention contraire explicite, vous acceptez qu'en soumettant du matériel sur l'un de nos serveurs, par exemple via courrier électronique ou formulaire CGI de F-Secure, le matériel mis à disposition peut dès lors être publié sur les pages Web de F-Secure ou sur support papier. Vous accéderez au site web public de F-Secure en cliquant sur les liens soulignés. Ainsi, votre accès est enregistré dans nos statistiques privées avec votre nom de domaine. Ces informations ne sont communiquées à aucune tierce partie. Vous vous engagez à ne pas intenter de procédure judiciaire contre notre société en relation avec le matériel soumis. Sauf mention contraire explicite, F-Secure peut inclure dans ses propres produits/publications tout concept relatif au matériel mis à sa

 

Bizare il a quand meme trouvé 1 fichier infecté.

 

Voila maintenant le rapport Hijackthis renomé en "Felipe":

 

Logfile of HijackThis v1.99.1

Scan saved at 12:15:50, on 25/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\arservice.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\Program Files\F-Secure\Anti-Virus\fsqh.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\ARPWRMSG.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\F-Secure\FSAUA\program\fsaua.exe

C:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe

C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\F-Secure\Common\FSM32.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\F-Secure\FSAUA\program\fsus.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\Program Files\F-Secure\FSGUI\fsguidll.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\SoftwareDistribution\Download\Install\IE7-WindowsXP-x86-fra.exe

c:\1adc78f99060a23caebae2\update\iesetup.exe

c:\windows\system\hpsysdrv.exe

c:\1adc78f99060a23caebae2\update\idndl.exe

c:\3cc825adb1dbd571c2953ab333\update\update.exe

C:\Documents and Settings\HP_Administrateur\Bureau\Felipe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [DMAScheduler] c:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\f-secure\fsps\program\fslsp.dll

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

 

 

Voila Bruce qu'en pense tu?

Bien amicalement

[bruce lee]

salut felipe,

 

C'est clean.

 

Dommage que tu es formaté...

 

As tu encore des problemes avec ton PC?

[felipe]

Re....

 

Bien écoute je ne ressens plus de ralentissements,et tout a l'air clean...

 

Pour vu que cela dure...

 

Je sais j'ai formaté...mais le pc ne répondait plus meme en mode SE...

 

 

merci et a bientot (Lol j'éspere pas!!!!)

 

 

je [Résolu]

 

The end.....

[bruce lee]

re,

 

J'ai surement parlé un peu vite....

 

1/affiche tout les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

 

2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser idndl.exe qui se trouve ici:

 

c:\1adc78f99060a23caebae2\update\idndl.exe

 

et post le resultat.

 

@+

[felipe]

Salut bruce,

 

ok mais je ne trouves pas le fichier pour le faire analyser...

[bruce lee]

salut felipe,

 

As tu bien afficher tout les fichiers/dossiers cachés? vois tu le dossier?

[felipe]

Non je ne le vois pas

 

mais j'ai bien affiché tout...

[bruce lee]

re,

 

Ouvre le bloc-note et copie/colle le contenu du cadre ci-dessous :

 

cd \

dir "c:\1adc78f99060a23caebae2\update\"

dir "c:\1adc78f99060a23caebae2\update\"

 

- Une fois le contenu collé dans le bloc-note

- Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom go.cmd sur ton bureau

- Double-clic sur go, une fenetre va s'ouvrir... Cela va durer plusieurs minutes, ne touche à rien.

- Le Bloc-note va s'ouvrir, copie/colle le rapport ici.

[felipe]

ok procédure suivie a la lettre,

 

une fenetre de commande apparait 1/2 sec et rien ne se passe??