rapport de nateco

[Thanos]

Bonjour mon prb est qu'une fois connecté sur internet j'ai un icone de type panneau jaune qui souvre et qui me dit Security Alert: NetWorm-i.virus@fp ou d'autres messages du genre!!!

 

J'ai sur mon PC AVAST comme antivirus, Antivir est impossible à installer (il m'ouvre une fenètre me disant qu'il ne peu être installer vu que mon PC est infecté).

 

AVAST arrivé à un certain point lors d'un scan, s'arrète et reste bloqué.

 

De la procédure j'ai tout fait sauf l'installation d'ANTIVIR, j'ai fait le scan avec AVAST (comme dit si-dessus j'usqu'au blocage de celui-ci).

 

si dessous le rapport HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:45:06, on 25/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\systs.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\TomTom HOME\TomTomHOME.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Magentic\bin\MgApp.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Microsoft ActiveSync\Wcescomm.exe

C:\PROGRA~1\MICROS~4\rapimgr.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\Rar$EX00.578\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.incredimail.com/french

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=552...cid={SUB_CLCID}

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://accountservices.passport.net/reg.sr...egXPWizCredOnly

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\alohfgck.dll

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [salestart] "C:\Program Files\Fichiers communs\BestsellerAntivirus\bm.exe" dm=http://bestsellerantivirus.com; ad=http://bestsellerantivirus.com

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00A789E.dat

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: tjk8rla0zxexp - Unknown owner - C:\WINDOWS\system32\systs.exe

 

--

End of file - 7241 bytes

 

 

d'avance merci pour votre aide.

[Thanos]

Ton pc est infecté nateco : suis la procédure ci-dessous >

 

1) Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

 

2) Passe par "Ajouter /Supprimer des Programmes" (Panneau de Configuration) et désinstalle les programmes suivant:

 

BestsellerAntivirus

 

3) Télécharge combofix.exe de sUBs

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche 1 pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  

@+

[nateco]

Bonjour,

Cela ne fonctionne toujours pas, maintenant j'ai une fenêtre qui s'ouvre dans internet explorer : http://www.protectroom.com/?gai=hamm_h4_po...3D88DCC8DC17349

 

Le PC est plus rapide, mais j'ai encore des pages qui souvrent!!!

 

En tout cas merci pour ton coup de main

 

Si joint le rapport:

 

 

ComboFix 07-10-26.4 - Famille Mutz 2007-10-26 9:23:28.3 - NTFSx86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.364 [GMT 2:00]

 

.

Modifié le 5 novembre 2007 par nateco

[Thanos]

salut

 

Cela ne fonctionne toujours pas

Mais c'est tout à fait normal! nous n'avons pas fini la désinfection!! Aucun utilitaire ne peut te débarrasser de tout en un clin d'oeil Il va falloir faire quelques manipulations pour cela.

Je vois que tu as lancé ComboFix 3 fois ?? j'aimerai stp que tu postes les 2 autres rapports pour voir ce qui a déjà été éliminé > ils se nomment ComboFix2.txt et ComboFix3.txt et se trouvent dans le disque C:\

Stp nateco, tiens toi-en à la procédure que je te donne, sinon ca complique les choses

 

1) Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/r0nkt9

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

2) Fais le scan en ligne suivant stp et poste le rapport généré >

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept]
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Poste donc, pour résumer, les deux rapports ComboFix (ComboFix2.txt et ComboFix3.txt et se trouvent dans le disque C:\) , ainsi que le rapport généré après l'étape 1 + le rapport de scan Kaspersky.

 

Courage: ca doit aller un peu mieux après ca

[nateco]

raport combo 2:

 

ComboFix 07-10-26.4 - Famille Mutz 2007-10-26 9:23:28.3 - NTFSx86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.364 [GMT 2:00]

Running from: C:\Documents and Settings\Famille Mutz\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

 

 

j'en ai fait plusieurs parce qu'il y avait des logiciels qui se sont lancés

 

@+

Modifié le 5 novembre 2007 par nateco

[douds]

LOOOOOL

j'arrive ici par un lien d'un autre topic

je n'ai donc pas lu le titre

et

je vois charles ingals, un Maître (Tera Power Extrem Member à 9900 messages !!!) qui est virusé et qui demande de l'aide ... en plus il a avast!

 

... bon, j'ai compris après mais c'était vraiment trop fun

Modifié le 26 octobre 2007 par douds

[nateco]

1) Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/r0nkt9

pour cela, clique sur le lien en bas de page > Download Link: CFScript

 

* Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

-> rapport :

 

ComboFix 07-10-26.4 - Famille Mutz 2007-10-26 13:46:29.5 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.94 [GMT 2:00]

Running from: C:\Documents and Settings\Famille Mutz\Bureau\anti-virus\ComboFix.exe

Command switches used :: C:\Documents and Settings\Famille Mutz\Bureau\anti-virus\CFScript.txt

* Created a new restore point

.

Modifié le 5 novembre 2007 par nateco

[nateco]

rapport kaspersky:

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Friday, October 26, 2007 7:59:37 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.98.0

Dernière mise à jour de la base antivirus Kaspersky : 26/10/2007

Enregistrements dans la base antivirus Kaspersky : 446581

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: étendue

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Poste de travail:

A:\

C:\

D:\

E:\

F:\

 

Statistiques de l'analyse:

Total d'objets analysés: 64388

Nombre de virus trouvés: 4

Nombre d'objets infectés: 3568

Nombre d'objets suspects: 0

Durée de l'analyse: 02:57:12

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\aklr.exe Infecté : Virus.Win32.Virut.ao ignoré

analyse terminée.

• 
  

Modifié le 27 octobre 2007 par nateco

[Apollo]

Bonsoir nateco , charly

 

En attendant que charles ingals revienne, va ici: http://support.f-secure.fr/fra/home/ols.shtml

 

fais le scan Fsecure qui va nettoyer le plus gros de toutes ces infections; cela fera avancer un rien.

 

reposte un log Hijackthis pour l'ami charly

[Thanos]

salut nateco, Apo

 

nateco, le rapport Kaspersky n'est pas du tout encourageant!

Ce qui suit n'est pas destiné à te faire peur mais en l'état actuel, la solution la plus sage et la plus simple est le formatage..

J'ai dû proposer cette solution à trois ou quatre personnes depuis que je m'occupe de désinfection, donc ce n'est pas de gaité de coeur! (c'est vraiment le dernier recours!).

 

Pourquoi le formatage ? parce que le pc est très infecté et qu'il l'est entre autres par un virus craignos > virut

Un virus qui s'attaque à tous les exécutables présents sur ton pc!! il risque de vite devenir inutilisable!

Ne pense pas à une restauration, car il y a peu de chances que ca fonctionne.

D'où provient cette infection ? regarde du côté de ce que tu télécharges >

D:\cartes IGN\utilitaires\GPSDash v2.27\keygen.exe Infecté : Virus.Win32.Virut.ao ignoré

Voilà exactement le type de choses à fuir!!

Fais gaffe avec les cracks et l'utilisation des logiciels P2P !! ce sont les principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir...

 

Pour terminer, on peux quand même tenter de désinfecter si tu veux, mais je ne te promet rien! Par ailleurs il faut savoir que le pc peut planter lors de la désinfection et la seule solution sera encore ...le formatage!

 

Si tu comptes tenter une désinfection, voilà ce que tu peux faire >

 

1) Crée un nouveau dossier sur ton Bureau (Clic-droit > Nouveau > Dossier)

• Télécharge ces deux fix dans ce dossier, et pas ailleurs:
   
  http://free.grisoft.com/filedir/util/avg_r...rut/rmvirut.exe
  http://free.grisoft.com/filedir/util/avg_r...irut/rmvirut.nt
   
   
  
• Exécute rmvirut.exe, et laisse le faire.
  

>>>Poste moi le rapport si tu le peux, sinon tu feras:

• File > Save log > Enregistre le sur le Bureau, pour mieux le retrouver.
  
• il se nommera VirusRemover.log
  

2) Refais un nouveau scan en ligne avec Kaspersky online et poste le rappport stp.

 

Après ca, il faudra s'attaquer au reste.

 

à+

 

ps: salut douds vérolé et faisant tourner Avast ?... :P ca la fout mal (surtout pour avast!)