infection malware

Gof · le 23 avril 2007

Re,

Je ne vois pas de pare-feux ! C'est un organe sécurité important. Voici une liste de pare-feux gratuits :

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://www.zonelabs.com/store/content/cata...&lid=nav_za

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/jetico.php

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Enregistre le tuto correspondant de sorte de pouvoir le consulter sans connexion. Attends avant de l'installer.

1. Téléchargement et installation des outils nécessaires.

Mets le à jour AVG AS (puisque tu l'as déja).
Ferme AVG AS. Ne pas le lancer tout de suite.
Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php

Télécharge ATF Cleaner par Atribune.

Télécharge R-Hosts de S!Ri et sauvegarde le sur le bureau.

Télécharge sur ton bureau : clean de Malekal_morte
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extraire tout ou extraire ici. Cela va créer un dossier clean.

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

2. Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].Sélectionne ensuite ta session habituelle.

3. Déplacement des fichiers infectieux afin de les "uploader" par la suite.

Crée un dossier à la racine du disque que tu nommeras Gof.

Rends toi sur ce fichier :

c:\windows\system32\ntdetect.exe

Fais un clic droit dessus et renomme le en ntdetect.txt. Coupe-colle ce fichier dans le répertoire Gof.

Fais de même avec ce fichier :

c:\windows\system32\svrhost.exe

4. Correction (FIX) des lignes dans HijackThis.

Lance un scan HijackThis.
clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :

O4 - HKLM\..\Run: [ntdetect.exe] ntdetect.exe
O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.

5. Restauration du fichier HOSTS

Double-clique sur le fichier hosts.exe que tu as sauvegardé sur ton bureau.
A la demande de confirmation, clique sur Oui.

6. Ajout/Suppression de programmes

Rends toi dans ton panneau de configuration>Ajout/suppression de programmes
Désinstalle :
J2SE Runtime Environment 5.0 Update 3
svrhost.exe

7. Nettoyage du disque pour préparer et faciliter l'intervention d'AVG AS.

Double-cliquer ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Pour Firefox
Sous l'onglet Firefox, choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clique sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler. Un rapport va etre généré, sauvegarde le sur ton bureau.

Double-clique à nouveau sur ce dossier clean. Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier. Clean va travailler.
Un rapport va etre généré, sauvegarde le sur ton bureau.

8. Nettoyage complémentaire par AVG AS.

Lance AVG AS et clique sur Analyse
Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau

9. Redémarrage en mode normal

Redémarre en mode normal.
Avant de te reconnecter, installe le pare-feu.

Poste :

le rapport AVG AS
Le rapport clean option 1
Le rapport clean option 2
un nouveau log hijackthis

A plus tard.

MGM · le 23 avril 2007

Ok Merci

je vais essayer de faire tout cela sans me perdre..demain ou apres demain je posterai les reponses,,ca depende de mon travail..lol

Merci

MG

MGM · le 24 avril 2007

je n'ai pas encore installe de firewall car j'ai celui de windows, xcela ne fera pas de conflit..

1) ok

2) ok

3) (mode sans echec) ntdetect.exe introuvable

svrhost ok

4) impossible de lance hijackthis

5) apparement oui

6)J2SE Runtime Environment 5.0 Update 3 ..impossible de disinstaller

svrhost.exe..ok

7) ok je poste les 2 rapports clean

le prog s arrete au bout de 12 min

9) ok

je poste les rpports et aussi celui de hijackthis en mode normal

Au faite avast me detecte tjr le trojan..dialer..

Merci de l 'aide

Clean 1

24/04/2007 a 11:20:32,28

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files

"C:\Program Files\PartyGaming\" FOUND

*** Fin du rapport !

clean 2

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 24/04/2007 a 11:21:15,64

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

tentative de suppression de "C:\Program Files\PartyGaming\"

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 11:47:53, on 24/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe

c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\explorer.exe

C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.3000.1001\en-us\msntb.dll

O2 - BHO: (no name) - {D1159422-16E3-462F-A93D-FB718E100407} - C:\WINDOWS\system32\d4xofa.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.3000.1001\en-us\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Monitor de conexión del teléfono.lnk = ?

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: ChatSpace Java Client 4.0.0.320 - http://63.99.211.87/ChatSpace/Java/cms40320.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121095280696

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1176309662250

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.tourismeville.wanadoo.fr/acti...sCamControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: wudb - C:\WINDOWS\system32\wudb.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Gof · le 24 avril 2007

Bonsoir MGM

Plusieurs questions et observations avant de reprendre, car on n'a pas avancé.

As-tu déplacé dans un répertoire Gof et renommer svrhost.exe comme je te l'ai demandé, me confirmes tu qu'il n'est plus dans c\windows\system32 ?
Confirmes-tu que tu ne trouves pas ntdetect.exe dans c:\windows\system32 ? (Je te rappelle que tu es toujours en option affichage des fichiers et dossiers cachés)
As-tu un message d'erreur au lancement d'hijackthis en mode sans échec ?
Tu ne m'as pas communiqué le rapport d'AVG AS.

MGM · le 24 avril 2007

Bonsoir,

1) oui deplace et renomme comme demande, je confirme qu'il n'est plus dans c\windows\system32

2) je te confirme que je ne trouve pas ntdetect.exe dans c:\windows\system32 , tjr avec les options de tous montrer..

3) pas de message, il s'execute et disparait de suite..

4) pas de rapport AVG S car en mode echec impossible de fonctionner..je poste le rapport de la'analyse que je viens de faire en mode normal

le virus est toujours detecte par mon antivirus mais a chaque fois dans des dossiers differents..

Au faite j'habite au mexique c'est pur ca que les horaires des rapports sont differents (- 7 h ici)

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 13:51:36 24/04/2007

+ Résultat de l'analyse:

Rien à signaler.

Fin du rapport

Gof · le 24 avril 2007

Re,

Fais ceci :

1/Télécharger

Smitfraudfix de S!Ri.
2/ Dézipper la totalité de l'archive sur ton bureau.
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
Sauvegarde ce rapport et poste le.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Note : Il n'y a pas la vraisemblablement d'infections de type Smitfraud, mais l'outil va me permettre de vérifier deux ou trois petites choses.

MGM · le 24 avril 2007

voila,

SmitFraudFix v2.171

Rapport fait à 15:02:19,71, 24/04/2007

Executé à partir de C:\Documents and Settings\Michel Gusting\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe

c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\WISPTIS.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Michel Gusting

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Michel Gusting\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MICHEL~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 2Wire Wireless PC Card - Miniport d'ordonnancement de paquets

DNS Server Search Order: 10.3.1.100

DNS Server Search Order: 10.3.1.111

HKLM\SYSTEM\CCS\Services\Tcpip\..\{18A24261-CC9A-4B5D-89F8-6A99F9D9F0F9}: DhcpNameServer=10.3.1.100 10.3.1.111

HKLM\SYSTEM\CS1\Services\Tcpip\..\{18A24261-CC9A-4B5D-89F8-6A99F9D9F0F9}: DhcpNameServer=10.3.1.100 10.3.1.111

HKLM\SYSTEM\CS3\Services\Tcpip\..\{18A24261-CC9A-4B5D-89F8-6A99F9D9F0F9}: DhcpNameServer=10.3.1.100 10.3.1.111

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=10.3.1.100 10.3.1.111

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.3.1.100 10.3.1.111

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=10.3.1.100 10.3.1.111

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Gof · le 24 avril 2007

Re,

Bon, on recommence. Mais différemment.

1. Mise à jour des outils.

Mets à jour AVG AS (puisque tu l'as déja).
Ferme AVG AS. Ne pas le lancer tout de suite.
Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

2. Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].Sélectionne ensuite ta session habituelle.

3. Suppression des fichiers infectieux.

Vérifie à nouveau si les fichiers ntdetect.exe et svrhost.exe ne sont pas présents dans C:\windows\system32. et c:\windows. Si oui, supprime les.

Rends toi à ces emplacements, et supprime les éléments suivants :

C:\Program Files\PartyGaming <- le dossier.
C:\Program Files\PacificPoker <- le dossier.

4. Suppressions des clés registres

Copie-colle le texte suivant (sans le mot code) dans le bloc-notes:

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"svrhost.exe"=-
"ntdetect.exe"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svrhost.exe"=-

Assure toi que le retour automatique à la ligne n'est pas activé
Sauvegarde comme gof.reg sur le Bureau :
Nom: gof.reg
Type: Tous les fichiers

Attention, pas de lignes vierges avant REGEDIT4.

Localise gof.reg sur le Bureau (il aura cette icône -> ), double-clique dessus et accepte la fusion. Tu auras un message de confirmation de la fusion.

5. Nettoyage du disque pour préparer et faciliter l'intervention d'AVG AS.

Double-cliquer ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Pour Firefox
Sous l'onglet Firefox, choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

6. Redémarrage à nouveau en mode sans échec.

Double-cliquer ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Pour Firefox
Sous l'onglet Firefox, choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.

7. Nettoyage complémentaire par AVG AS.

Lance AVG AS et clique sur Analyse
Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau

8. Redémarrage en mode normal

Redémarre en mode normal.

Poste :

le rapport AVG AS
un nouveau log hijackthis

A plus tard.

MGM · le 24 avril 2007

1) ok

2) ok

3) Je ne les trouve pas

dossier partygaming introuvable

dossier pacificpoker..supprime

4) ok

5) ok

6) ok

7) impossible de generer un rapport AVG AS en mode sans ecgec, le programme se bloque au bout de 49 min

ok

Je poste le dernier log de hijackthis

Il ya un prog qui me ralentit l'ordinateur en mode sans echec, j' ai vu le processus et il occupe tout (UC 100%, generalement je suis a une moyenne de 13%) : winlogon.exe, en plus il me provoque une erreur d'application, bref un message d'erreur apparait et je dois redemarrer tout. (le message dit que la memoire ne peut pas etre read..

LOG hojakthis

Logfile of HijackThis v1.99.1

Scan saved at 17:58:30, on 24/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe

c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe