[RESOLU] Worm.solow.a

[Lina]

Bonjour à tous,

 

Normalement en cas de problème, c'est mon frère qui règle tout (car étant membre du groupe sécurité du forum), mais il n'est pas là, donc, j'ai besoin de vous...

 

AVG me met que je suis infectée par worm.solow.a, j'avais déjà téléchargé un programme qui permettait de supprimer cette infection "hacked by godzilla", et après avoir redémarré mon ordi, tout aller bien, j'ai refait le scan AVG sans rien trouver, et sur le log hijackthis, la ligne hacked by godzilla n'était plus présente.

 

Cependant, je viens de refaire un scan, et je retrouve worm.solow.a Et retrouve la ligne hacked by godzilla...

 

Voici mon log:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\WScript.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: ???CE C???CE.lnk

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

 

 

Merci d'avance.

Modifié le 17 octobre 2007 par Lina

[Apollo]

Bonsoir Lina,

 

Un scan en ligne avec Panda devrait éliminer cette vermine. (à faire avec IExplorer)

 

Choisis poste de travail avant de lancer l'analyse, et récupère le rapport de fin d'analyse stp.

 

Poste-le à la suite ainsi qu'un nouveau log Hijackthis.

 

@+ tard.

Modifié le 3 octobre 2007 par Apollo.01

[angelique]

'soir Apollo.01

 

je ne retrouve pas le tool original ; le lien de dl , cependant je le colle là si ça peut t'aider:

 

http://www.sendspace.com/file/pqndok

 

un .bat + nircmd.exe que n'aime pas les AV (utilisé par combofix), j'i regardé le .bat, il correspond à son infection

 

Have a look:

 

@echo off

nircmd killprocess wscript.exe

nircmd regdelval "hklm\software\microsoft\windows\currentversion\run" "ms32dll"

nircmd regdelval "hkcu\software\microsoft\internet explorer\main" "window title"

del %systemroot%\MS32DLL.dll.vbs >nul 2>&1

for %%g in (c d e f g h i j k l m n o p q r s t u v w x y z) do @(

if exist "%%g:\autorun.inf" find /i "MS32DLL.dll.vbs" < "%%g:\autorun.inf" >nul && del /a/f "%%g:\autorun.inf" >nul 2>&1

if exist "%%g:\MS32DLL.dll.vbs" del /a/f "%%g:\MS32DLL.dll.vbs" >nul 2>&1

)

nircmd killprocess explorer.exe

Nircmd infobox "Done !!" "Finish"

EXIT

 

ça colle avec son:

O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs

 

 

A tester,AV desactivé ;o)

[Apollo]

Bonsoir Angélique.

 

Je te remercie pour l'outil; je disposais d'une procédure, juste au cas où Panda n'éradiquerait pas cette bestiole, mais je suis quasi certain qu'il le fera.

 

Voici ce que j'avais mis de côté:

 

Bonjour,

Va sur cette page:

http://www.softbkk.com/hacked_by_godzilla_...,3,downloading/

Si le téléchargement ne debute pas de lui-même, clique sur le lien "click here"

Accepte le téléchargement Nod32 Hacked By Godzilla[butsur.A]-Fix.

Apres ça, exécute-le.

Accepte la license et a la deuxième fenêtre, clique sur "do it now".

Une fenêtre s'ouvre alors pour te demander de scanner le péripherique, choisis "c:" (ou ton disque dur par défaut)

Une fois le scan terminé, clique sur "close", puis redémarre.

 

Reposte un nouveau log Hijackthis stp.

 

Je suppose donc qu'il faut désactiver le résident pendant l'opération comme tu le dis.

 

Merci de ton aide

 

@++

[angelique]

Ok!! attaque direct le mal , tu as bien identifié ce qui sautait aux yeux ^^ ; bonne continuation .

 

@++

[Lina]

Merci de vos réponses

 

Pour le scan de Panda, il s'est arrêté à Outlook, je l'ai refait une deuxième fois mais toujours le même résultat... :

 

 

Bonjour,

Va sur cette page:

http://www.softbkk.com/hacked_by_godzilla_...,3,downloading/

Si le téléchargement ne debute pas de lui-même, clique sur le lien "click here"

Accepte le téléchargement Nod32 Hacked By Godzilla[butsur.A]-Fix.

Apres ça, exécute-le.

Accepte la license et a la deuxième fenêtre, clique sur "do it now".

Une fenêtre s'ouvre alors pour te demander de scanner le péripherique, choisis "c:" (ou ton disque dur par défaut)

Une fois le scan terminé, clique sur "close", puis redémarre.

 

Reposte un nouveau log Hijackthis stp.

 

C'est le programme que j'avais utilisé la dernière fois... Et il me semble avoir fait ce que tu as dit...

 

je ne retrouve pas le tool original ; le lien de dl , cependant je le colle là si ça peut t'aider:

 

http://www.sendspace.com/file/pqndok

 

Je viens d'essayer et ça a l'air d'avoir marché...

 

Je crois que c'est bon cette fois-ci, voilà mon log:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: ???CE C???CE.lnk

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

[Apollo]

Re bonsoir,

 

Relance Hiackthis et clique sur Do a system scan only]

 

Coche la ligne: O4 - Global Startup: ???CE C???CE.lnk , ferme toutes les fenêtres sauf celle de Hijackthis et clique sur Fix Checked.

 

Je vois que tu as AVG Antispyware, donc inutile de le télécharger mais suivre la configuration ci-après: (juste pour vérification).

 

 

- Mets le à jour à partir du menu Mise à jour en haut

- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

 

 

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres

- Sélectionne dans Comment Réagir ? Quarantaine. (voir l'aide l'aide AVG Anti-Spyware)

- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.

---> Le scan démarre.

 

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.

Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.

 

 

Aide : N'hésite pas à consulter l'Aide AVG Anti-Spyware pour tout problème.

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

 

Copier/coller le rapport AVG Anti-Spyware

EDIT: Reposte aussi un log complet de HJthis stp, les précedénts sont tronqués.

 

@ plus tard

Modifié le 3 octobre 2007 par Apollo.01

[Lina]

Relance Hiackthis et clique sur Do a system scan only]

 

Coche la ligne: O4 - Global Startup: ???CE C???CE.lnk , ferme toutes les fenêtres sauf celle de Hijackthis et clique sur Fix Checked.

 

J'ai bien fait ce que tu m'as dit, mais il veut pas me l'enlever...

 

mon rapport AVG:

 

C:\Documents and Settings\Lina\Cookies\lina@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.

C:\Documents and Settings\Lina\Cookies\[email protected][1].txt -> TrackingCookie.Live : Aucune action entreprise.

C:\System Volume Information\_restore{8EBFBB51-5917-4CCD-9BBF-99AF854FB71B}\RP21\A0010353.vbs -> Worm.Solow.a : Aucune action entreprise.

 

Je comprends pas pourquoi il me met "aucune action entreprise" car à la fin du scan les cookies ont été supprimés et worm.solow.a en quarataine

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\oodag.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: ???CE C???CE.lnk

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

[Apollo]

AVG AS a bien été utilisé en mode sans échec?

As-tu bien configuré comme ceci:

 

Dans l'onglet Analyse, cliquer sur Paramètres, cliquer alors sur Actions recommandées et choisir Quarantaine.

 

 

A la fin du scan, cliquer sur appliquer toutes les actions

 

 

Pour être certain que AVG l'a bien isolé, vide la quarantaine définitivement; tu peux également désactiver la restauration système sur tous les lecteurs et la réactiver ensuite.

Aide sur Symantec

 

@ ++

[Lina]

Je suis allée en mode sans échec et je pense avoir bien configurer AVG, mais je referais le scan complet demain pour être sûre

 

Est-ce que je supprime aussi definitivement C:\WINDOWS\MS32DLL.dll.vbs ?

 

Merci de t'occuper de mon cas, au fait

Modifié le 3 octobre 2007 par Lina