UC à 100% au démarrage...[RESOLU]

[WawaSeb]

Bonjour David de Lyon,

 

*** Tu es aussi infecté par Sality, et c'est une grosse saleté qui s'attaque aux fichiers système ! ***

*** Tu n'auras à nouveau pas accès au net pendant une partie de la procédure, je t'encourage à enregistrer ce texte ou à l'imprimer... ***

---> Tes rapports HijackThis montrent des entrées manquantes (relatives à tes programmes de sécurité notamment), est-ce toi qui les as cochées ?

 

 

1) Télécharge eScan Antivirus Toolkit

• Enregistre-le sur ton Bureau.
  
• Mets-le à jour en suivant les instructions suivantes (A-B-C) :
  

A]

Double-clique sur le fichier mwav.exe qui se trouve sur le Bureau. Décompresse les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky\).

---> Le programme va se lancer, et tu dois le quitter (Clique sur "Exit" puis "Exit" ).

 

 

B]

Double-clique sur le Poste de travail, puis sur le lecteur C:\, ouvre le dossier Kaspersky.

Ensuite, exécute le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, l'outil se mettra à jour en quelques minutes.

 

 

C]

Lorsque la mise à jour sera terminée, tu verras "Press any key to continue"; appuie sur une touche pour continuer !

 

 

2) Démarre en mode sans échec sur ta session comme indiqué ici

 

 

3) Lance "eScan Antivirus Toolkit" (Double-clique sur le fichier mwavscan.com situé dans le dossier C:\Kaspersky\)

---> Le programme s'exécute et ouvre une fenêtre principale

 

 

4) Coche les cases suivantes dans "Scan Option" :

Memory, Registry, Startup Folders, System Folders, Services.

 

 

5) Coche aussi Drive et le bouton "All Locals Drives", et tu verras une nouvelle boîte de navigation sur la droite. Clique sur la petite flèche de cette boîte et choisis la lettre de ton disque dur, habituellement C:\

 

 

6) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

 

7) Clique sur Scan Clean et laisse le programme vérifier tout le disque dur (ça peut être très long !). En fin de vérification, tu verras apparaître : Scan Completed. Ne quitte pas immédiatement.

 

Crée un nouveau document texte (avec le bloc-note)

 

° Copie-colles-y le contenu de la fenêtre Virus Log Information (la deuxième, au bas), et enregistre-le.

° Ferme le programme.

° Redémarre ton PC en mode Normal.

 

---> Très bon tutoriel signé malekal_morte ici

 

---> Poste le rapport que tu as sauvegardé dans ta prochaine réponse ainsi qu'un nouveau rapport HijackThis

 

Bon travail à toi !

 

[David de Lyon]

Re salut WawaSeb.

 

Effectivement, c'était long. Le rapport eScan AntiVirus Toolkit fait 8,22Mo, je n'arrive pas à le poster...

 

Voici le rapport Hijack :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:43:34, on 01/09/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\msdtc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\check.exe

 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - Global Startup: Raccourci vers Connexion au réseau local.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - (no file)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: PMJ151 AutoLaunch Service (PMJ151LA) - Matsushita Electric Industrial Co. ,Ltd, - C:\WINDOWS\PMJ151LA.BIN

 

--

End of file - 2738 bytes

 

 

A bientôt...

[WawaSeb]

Bonsoir David de Lyon,

 

8,22Mo ?

----> Peux-tu me le faire parvenir par mail stp, je t'envoie mon adresse en privé !

 

 

1) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche uniquement les cases Fichiers Internet temporaires, Corbeille et Fichiers temporaires

---> Clique à nouveau sur OK

 

 

2) Télécharge AVG anti-spyware

*** Ce programme est une version d'essai, valable 30 jours !

 

---> Enregistre-le fichier dans un dossier.

 

---> A la fin du téléchargement, ouvre le dossier et tu double-clique sur avgas-setup-TAVERSION.exe. Suis les instructions.

 

---> Si on te demande de redémarrer ton ordinateur, fais-le.

 

---> Pour lancer AVG anti spyware, double-clique sur l'icône qui s'est créé sur le bureau.

 

 

Lors du premier lancement, tu devras configurer le logiciel :

 

---> Sur la page "état", tu choisis inactif pour le bouclier résident.

 

---> Sur la page "mise à jour", tu coches les cases de mises à jour automatiques et tu appliques (commencer la mise à jour). Redémarre l'ordinateur si nécessaire.

 

---> Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces".

 

---> Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.

 

---> A la fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre.

Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier-coller avec ta réponse.

 

 

Bonne nuit à toi !

[David de Lyon]

Bonjour WawaSeb !!!

Je t'ai mailé le rapport Kaspersky comme prévu.

 

Concernant AVG AntiSpyware, rien à signaler, voici le rapport :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 03:52:40 02/09/2007

 

+ Résultat de l'analyse:

 

 

 

Rien à signaler.

 

 

 

Fin du rapport

 

 

 

Et un nouveau Hijack pour la forme :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 04:02:39, on 02/09/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\msdtc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\ESET\nod32kui.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\check.exe

 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - Global Startup: Raccourci vers Connexion au réseau local.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - (no file)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: PMJ151 AutoLaunch Service (PMJ151LA) - Matsushita Electric Industrial Co. ,Ltd, - C:\WINDOWS\PMJ151LA.BIN

 

--

End of file - 2988 bytes

[David de Lyon]

Bonjour WawaSeb !!!

Oh, la boulette pour le rapport eScan !!

Merci pour ta patience.

Voici, je crois, le bon rapport :

 

[0x00000500] 01/09/2007 16:02:55:868 :[msvLclnt.dll]ModuleName = C:\Kaspersky\mwavscan.com

[0x00000500] 01/09/2007 16:02:55:878 :[msvLclnt.dll]WARNING!!! "Autokey" Not Found

[0x00000500] 01/09/2007 16:03:06:613 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):

[0x00000500] 01/09/2007 16:03:06:613 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN

[0x00000500] 01/09/2007 16:03:06:623 :[msvLclnt.dll]TimeOut : ffffffff

[0x00000500] 01/09/2007 16:03:06:623 :[msvLclnt.dll]Priority : NORMAL

[0x00000500] 01/09/2007 16:03:08:966 :[msvLclnt.dll]VirusCount = 389807 Latest Date = 2007/08/25

[0x00000118] 01/09/2007 16:38:02:572 :[msvLclnt.dll]ModuleName = C:\Kaspersky\mwavscan.com

[0x00000118] 01/09/2007 16:38:02:582 :[msvLclnt.dll]Registry Key Deleted Properly!!!

[0x00000118] 01/09/2007 16:38:11:625 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):

[0x00000118] 01/09/2007 16:38:11:625 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN

[0x00000118] 01/09/2007 16:38:11:635 :[msvLclnt.dll]TimeOut : ffffffff

[0x00000118] 01/09/2007 16:38:11:635 :[msvLclnt.dll]Priority : NORMAL

[0x00000118] 01/09/2007 16:38:13:678 :[msvLclnt.dll]VirusCount = 389807 Latest Date = 2007/08/25

[0x00000170] 01/09/2007 16:41:39:003 :[msvLclnt.dll][00000001] File C:\PROGRA~1\RealVNC\VNC4\WinVNC4.exe infected by not-a-virus:RemoteAdmin.Win32.WinVNC.4110

[0x00000170] 01/09/2007 17:17:47:802 :[msvLclnt.dll][00000001] File C:\Documents and Settings\David\Mes documents\David\Registry Repair\install.exe infected by Backdoor.Win32.SpyBoter.fc

[0x00000170] 01/09/2007 17:17:49:144 :[msvLclnt.dll][00000001] File C:\Documents and Settings\David\Mes documents\David\Registry Repair\install.exe infected by Backdoor.Win32.SpyBoter.fc

[0x00000170] 01/09/2007 17:27:45:000 :[msvLclnt.dll][00000001] File C:\Documents and Settings\David.GABRIEL\Bureau\Nouveau dossier (3)\A classer\Nouveau dossier\vnc-4_1-x86_win32.exe infected by not-a-virus:RemoteAdmin.Win32.WinVNC.4110

[0x00000170] 01/09/2007 17:52:09:496 :[msvLclnt.dll][00000001] File C:\Documents and Settings\Gabriel\Mes documents\Downloads\PDF.Password.Remover.v3.0.WinALL-CHiCNCREAM\pwdremover.exe infected by not-a-virus:AdWare.Win32.Virtumonde.ks

[0x00000170] 01/09/2007 20:18:37:553 :[msvLclnt.dll][00000001] File C:\Program Files\RealVNC\VNC4\winvnc4.exe infected by not-a-virus:RemoteAdmin.Win32.WinVNC.4110

[0x00000170] 01/09/2007 20:18:37:803 :[msvLclnt.dll][00000001] File C:\Program Files\RealVNC\VNC4\wm_hooks.dll infected by not-a-virus:RemoteAdmin.Win32.WinVNC.4

[0x00000170] 01/09/2007 22:12:26:903 :[msvLclnt.dll][00000001] File F:\Documents and Settings\Administrateur\Mes documents\VNC\vnc-4_1-x86_win32.exe infected by not-a-virus:RemoteAdmin.Win32.WinVNC.4110

[0x00000170] 01/09/2007 22:20:34:063 :[msvLclnt.dll]VirusCount = 389807 Latest Date = 2007/08/25

[0x00000118] 01/09/2007 22:35:06:808 :[msvLclnt.dll]VirusCount = 389807 Latest Date = 2007/08/25

 

A bientôt !!!

[WawaSeb]

Bonjour David de Lyon,

 

*** Est-ce toi qui as installé RealVNC ? ***

--> C'est un logiciel de prise de contrôle à distance de ton ordinateur...

 

Si tu ne l'utilises pas régulièrement :

 

1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle RealVNC
  

2) Supprime les fichiers suivants (si présents) :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• F:\Documents and Settings\Administrateur\Mes documents\VNC\vnc-4_1-x86_win32.exe
  
• C:\Documents and Settings\Gabriel\Mes documents\Downloads\PDF.Password.Remover.v3.0.WinALL-CHiCNCREAM\pwdremover.exe
  
• C:\Documents and Settings\David.GABRIEL\Bureau\Nouveau dossier (3)\A classer\Nouveau dossier\vnc-4_1-x86_win32.exe
  

3) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

1. Double-clique VundoFix.exe afin de le lancer
   
2. Clique sur le bouton Scan for Vundo
   
3. Lorsque le scan est complété, clique sur le bouton Remove Vundo
   
4. Une invite te demandera si tu veux supprimer les fichiers, clique YES
   
5. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
   
6. Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
   
7. Copie/colle le contenu du rapport situé dans C:\vundofix.txt sur ce forum
   

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

 

4) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Merci de poster les rapports suivants :

• VundoFix
  
• Kaspersky en ligne
  

Bon travail !

[David de Lyon]

Salut WawaSeb !!!

Concernant l'analyse Kaspersky online, elle tourne depuis 4h, en est à moins de 50% et a trouvée pour l'instant 2 Virus, 8 objets infectés et 1 objet suspect.... Le rapport demain je pense...

J'ai viré VNC et les fichiers que tu m'as indiqué.

 

Pour VundoFix, aucun soucis apparent. Voilà le rapport :

 

VundoFix V6.5.7

 

Checking Java version...

 

Java version is 1.5.0.4

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.7

Old versions of java are exploitable and should be removed.

 

Scan started at 17:58:29 02/09/2007

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

 

 

Bonne nuit, à bientôt....

[David de Lyon]

Bonjour WawaSeb !!!!

 

Voici le rapport Kaspersky online :

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Monday, September 03, 2007 9:33:30 AM

Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 3/09/2007

Enregistrements dans la base antivirus Kaspersky : 402717

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

C:\

D:\

E:\

F:\

G:\

I:\

 

Statistiques de l'analyse:

Total d'objets analysés: 66200

Nombre de virus trouvés: 4

Nombre d'objets infectés: 12 / 0

Nombre d'objets suspects: 1

Durée de l'analyse: 06:46:09

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\David\Mes documents\David\Registry Repair\install.exe.mwt/winupdaters.exe Infecté : Backdoor.Win32.SpyBoter.fc ignoré

C:\Documents and Settings\David\Mes documents\David\Registry Repair\install.exe.mwt CreateInstall: infecté - 1 ignoré

C:\Documents and Settings\David\Mes documents\Downloads\registry.repair.2006.zip/registry.repair.2006/registry repair 2006/install.exe/winupdaters.exe Infecté : Backdoor.Win32.SpyBoter.fc ignoré

C:\Documents and Settings\David\Mes documents\Downloads\registry.repair.2006.zip/registry.repair.2006/registry repair 2006/install.exe Infecté : Backdoor.Win32.SpyBoter.fc ignoré

C:\Documents and Settings\David\Mes documents\Downloads\registry.repair.2006.zip ZIP: infecté - 2 ignoré

C:\Documents and Settings\David.GABRIEL\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\David.GABRIEL\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\David.GABRIEL\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\David.GABRIEL\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\David.GABRIEL\Local Settings\Historique\History.IE5\MSHist012007090320070904\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\David.GABRIEL\Mes documents\Downloads\registry.repair.2006.zip/registry.repair.2006/registry repair 2006/install.exe/winupdaters.exe Infecté : Backdoor.Win32.SpyBoter.fc ignoré

C:\Documents and Settings\David.GABRIEL\Mes documents\Downloads\registry.repair.2006.zip/registry.repair.2006/registry repair 2006/install.exe Infecté : Backdoor.Win32.SpyBoter.fc ignoré

C:\Documents and Settings\David.GABRIEL\Mes documents\Downloads\registry.repair.2006.zip ZIP: infecté - 2 ignoré

C:\Documents and Settings\David.GABRIEL\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\David.GABRIEL\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\ESET\cache\CACHE.NDB L'objet est verrouillé ignoré

C:\Program Files\ESET\infected\A3H453DA.NQF Suspect : Type_Win32 ignoré

C:\Program Files\ESET\logs\virlog.dat L'objet est verrouillé ignoré

C:\Program Files\ESET\logs\warnlog.dat L'objet est verrouillé ignoré

C:\WINDOWS\CSC000001 L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Profiles\Gabriel\Paramètres locaux\Application Data\Microsoft\Outlook\outlook.pst/Dossiers personnels/Boîte de réception/DAVID TEMPORAIRE/David ancien/23 Dec 2005 21:10 from Davidam:Wynefrede/Leonard.zip Infecté : Trojan-Downloader.Win32.Bagle.p ignoré

C:\WINDOWS\Profiles\Gabriel\Paramètres locaux\Application Data\Microsoft\Outlook\outlook.pst Mail MS Mail: infecté - 1 ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{CE46ABDC-565A-4AA1-9DEC-E6FE216371EF}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\IExplore.evt L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\config\SYSTEM.ALT L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\DTCLog\MSDTC.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SYSTEM32\Perflib_Perfdata_290.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

F:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\archive.pst/Dossiers d'archivage/Éléments envoyés/07 Jan 2005 16:19 to amsellemgabriel@free.fr:Webroot Spy Sweeper/Webroot Spy Sweeper Crack.exe Infecté : P2P-Worm.Win32.Tibick.d ignoré

F:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\archive.pst Mail MS Mail: infecté - 1 ignoré

 

Analyse terminée.

 

 

 

Ainsi qu'un nouveau Hijack :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:40:29, on 03/09/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\msdtc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\ESET\nod32kui.exe

C:\Program Files\Trend Micro\HijackThis\check.exe

 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - Global Startup: Raccourci vers Connexion au réseau local.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - (no file)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: PMJ151 AutoLaunch Service (PMJ151LA) - Matsushita Electric Industrial Co. ,Ltd, - C:\WINDOWS\PMJ151LA.BIN

 

--

End of file - 2892 bytes

 

 

A bientôt !!!!

 

[WawaSeb]

Bonsoir David de Lyon,

 

*** On avance bien... j'espère que tes fichiers système ne sont pas endommagés ! ***

 

 

1) Télécharge ELIBAGLA (tout en bas de la page)

• Clique sur Descargar Elibagla pour télécharger le fichier
  
• Enregistre-le sur ton bureau
  
• Double-clique sur ce fichier pour l'ouvrir
  
• Assure-toi d'avoir "C:\" dans le menu Unidad
  
• Vérifie que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
  
• Clique sur le bouton Explorar pour lancer l'analyse
  
• Poste le rapport créé C:\InfoSat.txt
  

 

 

2) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle Java version is 1.5.0.4
  
• Désinstalle Java version is 1.5.0.6
  
• Désinstalle Java version is 1.5.0.7
  

 

3) Supprime les fichiers / dossiers suivants (si présents) :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\Documents and Settings\David\Mes documents\David\Registry Repair\
  
• C:\Documents and Settings\David\Mes documents\Downloads\registry.repair.2006.zip
  
• C:\Documents and Settings\David.GABRIEL\Mes documents\Downloads\registry.repair.2006.zip
  
• C:\WINDOWS\Profiles\Gabriel\Paramètres locaux\Application Data\Microsoft\Outlook\outlook.pst/Dossiers personnels/Boîte de réception/DAVID TEMPORAIRE/David ancien/23 Dec 2005 21:10 from Davidam:Wynefrede/Leonard.zip
  
• F:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Outlook\archive.pst/Dossiers d'archivage/Éléments envoyés/07 Jan 2005 16:19 to amsellemgabriel@free.fr:Webroot Spy Sweeper/Webroot Spy Sweeper Crack.exe
  

 

4) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : C:\Program Files\ESET\infected\A3H453DA.NQF
  
• Clique sur "Submit"
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

En espérant que tu auras compris ce que coûtaient réellement les cracks, je te souhaite une excellente soirée !

 

Merci de poster les 2 rapports suivants :

• ELIBAGLA
  
• Jotti / Virus Total
  

@ bientôt !

[David de Lyon]

Bonjour WawaSeb !!!

J'ai plein de choses à te dire.

Pour commencer, voici le rapport Elibagla :

 

Tue Sep 04 00:35:45 2007

EliBagle v10.49 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Tue Sep 04 00:37:18 2007

EliBagle v10.49 ©2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

--------------------------------------------------------------------------------------------------------------------

Il est clean. J'ai aussi passé les autres disques durs dans la foulée avec le même résultat.

Cependant, j'ai galéré pour l'installer :

Tu te rappelle que pour Gmer, j'avais dû utiliser IE car le site était inaccessible avec Firefox depuis mon ordinateur?

Et bien là, c'était pire: J'arrivais bien sur la page "http://www.zonavirus.com/datos/descargas/95/elibagla.asp", mais après avoir cliqué sur le lien de téléchargement, une mini fenêtre popup s'ouvrait et se fermait, et j'obtenais sur la page suivante le message "The system cannot find the file specified.". Même punition sous IE. (j'ai windows 2000 Pro ???)

J'ai donc téléchargé le fichier à partir d'un autre ordinateur (portable) sous windows XP avec IE7.....Puis transféré et exécuté (en mode normal, pas sans échec, c'est grave?). Voilà pour les détails.

 

Ensuite, j'ai désinstallé les 3 Java indiqués

Après, j'ai bien effacé les fichiers indiqués.

Ensuite, et j'ai peur de te l'avouer, boulette :

Dans le mouvement et par faute d'inattention et fatigue, j'ai supprimé également les fichiers dans le répertoire C:\Program Files\ESET\infected dont le fameux "A3H453DA.NQF"......en criant NOOOOON en même temps (corbeille désactivée).

 

Je suis désolé de cette erreur et espère que tu ne prendras pas cette attitude pour un manque de respect pour ton travail. Je promet d'être plus scrupuleux si tu veux bien continuer à m'aider. J'espère que ce ne sera pas lourd de conséquences.

 

Pour ce qui concerne les cracks, je me range bien volontier à ton avis et souhaite passer à un fonctionnement type "évaluation puis achat si satisfait", ce que je m'était dit plusieurs fois déjà, mais pas concrétisé. Je souhaite virer tous ce qui concerne le P2P et assimilé d'ailleurs mais j'attend ton aval au cas ou ça gênerait les procédures en cours...

 

 

Merci pour ta patience en tout cas.

A bientôt j'espère.