maj windows et spy sweeper impossible

[nebulon]

bonjour a tous,

 

j'ai commencé ce sujet dans le forum software et saclès m'a plutot dit que c'était un problème de

 

malware ,alors me voila et bien dans la m.... sans avoir a priori rien fait.

 

je me suis apercu au debut que spy sweeper ne se m'était pas a jour (168884 menaces seulement)

 

que ce soit en auto ou en manuel.

 

puis je me suis apercu que le centre de sécurité windows était "rouge" rayon maj ,me disant

 

que le pc n'était toujours pas paramêtré pour les maj ,et lorsque je clic sur maj auto il me dit

 

qu'il ne peut pas changer les paramêtres ,même sur le site windows update ca ne marche pas,

 

il n'arrive pas a voir les maj de mon pc ni l'historique ,en fait ,rien ne marche.

 

de plus kério me signal des centaines d'attaques du style "attempted-dos" etc...,en seulement 5 jours! avec pleins d'IP et d'adresse web

 

j'ai fais des scan :a-squared ,ad aware ,avast ,spy sweeper (pas a jour) ,f-secure et sophos anti rootkit + divers utilitaires et avg anti spy,rien.

 

aidez moi svp !!! je ne sais plus quoi faire ,je ne sais pas depuis combien de temps windows n'est pas a jour

 

d'avance merci de votre aide.....

Modifié le 23 juin 2007 par nebulon

[regis56]

Salut !

 

Fais ceci stp :

 

- Télécharge HijackThis de Merijn sur ton bureau.

http://www.merijn.org/files/hijackthis.zip

 

- Génère un rapport en suivant ces indications :

- Double-clic sur hijackthis.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur leBloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HijackThis -

http://www.malekal.com/tutorial_HijackThis.html

 

A plus.

[nebulon]

merci de ton aide,le voici :

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:46:25, on 13/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\a-squared free\a2service.exe

C:\Program Files\Acer\Acer eConsole\MediaServerService.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijackthis Version Française\scanner.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.orange.fr

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [userFaultCheck] C:\WINDOWS\system32\dumprep 0 -u

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [spySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe

O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

[regis56]

Re

 

Continu comme ceci stp :

 

Télécharge AVG Anti-Spyware

http://free3.grisoft.cz/softw/70free/setup...up-7.5.0.50.exe

• Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
  
• Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
  
• Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
  

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

• Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
  
• AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
  
• Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  
• Redémarre ton ordi en mode Normal.
  

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

[nebulon]

bonjour ,

 

j'ai fais ce que tu m'as dis ,(merci pour les liens) et rien sur avgas ni sur f-secure,j'ai fais ausssi pleins d'autres scans (voir plus haut) et rien!

 

j'ai toujour des dixaines d'attaques/min et mes maj windows et spy sweeper ne se font toujour pas,voici le log:

 

06/13/07 21:01:18 [info]: BlackLight Engine 1.0.61 initialized

06/13/07 21:01:18 [info]: OS: 5.1 build 2600 (Service Pack 2)

06/13/07 21:01:18 [Note]: 7019 4

06/13/07 21:01:18 [Note]: 7005 0

06/13/07 21:01:29 [Note]: 7006 0

06/13/07 21:01:29 [Note]: 7011 1412

06/13/07 21:01:29 [Note]: 7026 0

06/13/07 21:01:29 [Note]: 7026 0

06/13/07 21:01:31 [Note]: FSRAW library version 1.7.1021

 

merci beaucoup de ton aide,

[regis56]

Salut !

 

On va quand même faire un dernier control stp :

 

Fait un scan en ligne ici

http://www.kaspersky.com/virusscanner

tuto d'aide ici

http://www.malekal.com/scan_Av_en_ligne.html

 

Ensuite tente ceci :

 

Démarrer > Exécuter et taper Services.msc puis OK

Choisir le mode "Etendu" (onglets inférieurs)

Grâce à la barre de défilement (à droite) rechercher le service suivant:

 

Mises à jour automatiques

 

Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).

Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Démarrer,

puis dérouler le Type de Démarrage pour le modifier en Automatique

Cliquer sur Appliquer puis OK

 

Ensuite suit ce tuto :

Crée un rapport GetSystemInfo via cette procédure.

Ensuite, envoie nous l'url du rapport crée sur http://gsi.kaspersky.fr

 

A plus.

[nebulon]

ok,pour ta méthode ,mais il me semble que le scan kaspersky ne fonctionne que si je débranche mon pare feu !!

 

et vu toutes ces attaques est il prudent que je le fasse ?

 

merci de ta disponibilité

[regis56]

RE

 

Nan tu ne désactive pas ton parefeu stp

 

Et le scan Kaspersky devrait quand même fonctionner regarde bien le tuto de Malekal pour t'aider.

 

Sinon passe à l'étape suivante

 

A plus.

[nebulon]

salut,

 

je viens de tenter un scan kaspersky et il faut que je désactive effectivement mon pare feu,

 

j'ai donc essayé un scan panda,pareil,

 

dans services.msc la maj auto etait deja en auto et activée je l'ai redémarrer et ca ne marche toujour pas ,

 

en faite tout est sur auto ,mais le centre de sécurité me dit que je ne le suis pas (en auto)

 

je viens de me rendre compte que les attaques de kério arrivent lorsque je suis sur zebulon et pas sur les autres sites !

 

EST CE NORMAL ? DE QUOI CELA PEUT-IL VENIR ?

 

sinon j'ai fais le scan "getsysteminfo" mais j'attend pour le soumettre au site car pour l'instant ca cherche et ca fini par planter,alors je le post +tard

 

merci !

 

ps:si on ne trouve pas ,je crois que la seule solution sera de formater, surtout si c'est un rootkit ! qu'en penses tu?

Modifié le 14 juin 2007 par nebulon

[regis56]

Salut !

 

Pour l'instant rien ne me dit que tu es infecté !

 

Un rootkit pourquoi pas mais blacklight n'a rien vu lui.

 

Formater; je pense qu'on peut tenter encore certaines choses avant d'en arriver là.

 

A plus.