[Résolu] Aidez moi svp à analyser le rapport HijackThis..

Miiro · le 14 novembre 2007

Ok je ce que je pensais car le PC charge beaucoup encore...!

J'attends ton remede pour Vundo

Merci

A demain Wong.

wong · le 14 novembre 2007

Bonjour Miiro,

On va faire le nettoyage en 2 étapes. Prend ton temps afin de bien configurer les utilitaires.

1°) Téléchargement d'utilitaires :

Télécharge CCleaner v 2.02.527 : http://www.ccleaner.com/download/builds.aspx

Télécharge la version Standard Build et installe-la suivant la procédure. Attention : DECOCHE la case Yahoo ! Toolbar lors de l'installation

Configure-le :

Bouton Registre > Coche toutes les cases.
Bouton Nettoyeur > Onglet Windows > Coche toutes les cases sauf : Emplacement des téléchargements - Cache de l'arrangement du Menu - Cache taille/position des fenêtres - Désinstallateur de Hotfixes - Personalisation des dossiers.
Bouton Nettoyeur > Onglet Apllications > Coche toutes les cases sauf : ton antivirus ( si présent ) et tes anti-spywares ( si présents ).
Bouton Options > Bouton Avancé > Coche seulement : Demander pour sauvegarder les modifications du Registre.
Ferme CCleaner en cliquant sur la croix ( en haut à droite ).

Télécharge la dernière version de PocketKillbox : http://www.downloads.subratam.org/KillBox.zip

Place le programme dans le répertoire qui te plaît ( pas d'installation Windows ). Dézippe-le ( "extraire tout" ou "extraire ici" ) .

2°) Redémarre ton PC en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou d'enregistrer dans un fichier texte ) la procédure.

2.1 - Lance PocketKillbox

Choisis l'option Delete on Reboot
copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\System32\ddaba.dll
C:\WINDOWS\system32\gmcndasm.dll
C:\WINDOWS\system32\hbjmdclb.dll

Les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", sinon seul le premier de la liste sera supprimé.
Vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
Important Des fichiers ".dll" sont présents dans la liste, Coche "Unregister .dll Before Deleting".
Clique sur la croix blanche sur fond rouge (Delete File) : "File will be Removed on Reboot, Do you want to reboot now?"
Réponds OUI si tu es prêt à procéder.
Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
Copie/Colle le rapport de PocketKillbox situé sur C:\!KillBox\Logs dans ta prochaine réponse

Tuto animé de baltrap34 en flash ici : http://perso.orange.fr/rginformatique/sect...rus/killbox.htm

2.2 - Nettoyage avec HijackThis

Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous :

O2 - BHO: (no name) - {70D8AD3F-0366-4991-8748-FF9AD3FB544C} - C:\WINDOWS\System32\ddaba.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: {a7139d47-05ce-9be8-1834-7f66715bd728} - {827db517-66f7-4381-8eb9-ec5074d9317a} - C:\WINDOWS\system32\gmcndasm.dll

O4 - HKLM\..\Run: [dcc10928] rundll32.exe "C:\WINDOWS\system32\hbjmdclb.dll",b

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

3°) Redémarre en mode normal

3.1 - Lance CCleaner

Nettoyage

Bouton Nettoyeur : Clique sur le bouton Analyse et ensuite sur le bouton Lancer le Nettoyage ( fais-le 2 fois ).
Bouton Registre : Clique sur le bouton Chercher les erreurs et une fois trouvées, Clique sur le bouton Réparer les erreurs sélectionnées. Accepte la sauvegarde du Registre, et clique sur Réparrer toutes les erreurs. Attend 1' ( pour permettre l'enregistrement de la nouvelle sauvegarde ) et recommence jusqu'à ce qu'il n'y ait plus rien.
Ferme CCleaner.
Redémarre ton PC normalement.

3.2 - Lance HijackThis

Copie/Colle un nouveau rapport HijackThis dans ta réponse

J'attens 2 rapports ( celui de Killbox et celui de HijackThis ).

A suivre : suite la procédure de nettoyage.

Cordialement.

Miiro · le 14 novembre 2007

Bonjour Wong

Toute la procedure c'est tres bien passé selon moi.

Jai bien noté la disparition des fichiers suspects

Voila les 2 rapports demandés

Vundo a t il bien été éradiqué selon toi ??

Encore merci pour ton aide.

1) Rapport KillBox

Pocket Killbox version 2.0.0.648

Running on Windows XP as Miiro(Administrator)

was started @ mercredi, novembre 14, 2007, 3:30 PM

# 1 [Delete on Reboot]

Path = C:\WINDOWS\System32\ddaba.dll

# 2 [Delete on Reboot]

Path = C:\WINDOWS\system32\gmcndasm.dll

# 3 [Delete on Reboot]

Path = C:\WINDOWS\system32\hbjmdclb.dll

I Rebooted @ 3:39:50 PM

Killbox Closed(Exit) @ 3:39:50 PM

__________________________________________________

2)Rapport HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 15:57, on 2007-11-14

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - cmd.exe (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

wong · le 14 novembre 2007

RE Miiro,

Non, le rapport KillBox n'est pas bon. Recommence stp juste KillBox pour une vérification :

Redémarre ton PC en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou d'enregistrer dans un fichier texte ) la procédure.

Lance PocketKillbox

Choisis l'option Delete on Reboot
copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\System32\ddaba.dll
C:\WINDOWS\system32\gmcndasm.dll
C:\WINDOWS\system32\hbjmdclb.dll

Les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", sinon seul le premier de la liste sera supprimé.
Vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
Important Des fichiers ".dll" sont présents dans la liste, Coche "Unregister .dll Before Deleting".
Clique sur la croix blanche sur fond rouge (Delete File) : "File will be Removed on Reboot, Do you want to reboot now?"
Réponds OUI si tu es prêt à procéder.
Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.
Copie/Colle le rapport de PocketKillbox situé sur C:\!KillBox\Logs dans ta prochaine réponse

J'attends le rapport pour confiramation.

@ +

Nicolas Coolman · le 14 novembre 2007

bonsoir à tous

[petite parenthèse]

Je me demande comment une station peut être infectée en Combo, Vundo,... avec la protection suivante :

Symantec Norton Systemworks
Symantec Norton Internet Security

Symantec Norton Antivirus

... Ou alors aucune mise à jour n'est faite, le LiveUpdate auto est peut-être désactivé ou défaillant

Modifié le 14 novembre 2007 par coolman

wong · le 14 novembre 2007

Bonsoir coolman,

Merci de ton intervention judicieuse.

Je me suis posé la question vu le nombre de services Norton présents en ( 023 ) avec en + plus des " file missing".

J'ai pris l'option de continuer la désinfection de Vundo avant de faire un DiagHelp.

J'éspère que ta question va apporter une réponse de la part de Miiro.

Amicalement.

Miiro · le 14 novembre 2007

Bonsoir Wong

Desolé davoir mis un peu de temps a repondre..

Je suis retouné sur le mode sans échec

Relancé PoketKillbox

Par contre je n arrive plus à copier / coller la liste de fichiers à supprimer

PoketKillbox ne les accepte pas ..!!

Pourtant j ai reussi à le faire une fois cette apres-midi.

Je ne comprend pas pourquoi ?

Que dois-je faire stp ?

wong · le 15 novembre 2007

RE Miiro,

Tu n'as pas à t'excuser. Tu viens quand tu peux.

Supprime "PocketKillbox" de ton PC, ainsi que le fichier "C:\!KillBox\Logs"

Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

Enregistre-le sur ton bureau ( ou mieux dans un répertoire dédié : C:\ATF\ATF Cleaner.exe ).

AVG Anti-Spyware

J'ai vu que tu avais installé AVG AS sur ton PC. Tu vas le configurer :

Lance le depuis l'icône presente sur ton bureau.
Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour DESACTIVER ces deux fonctions.
Le "Guard" est la protection en temps réel ( valable 30 jours ), mais tu as déjà "Windows Defender" avec une protection en temps réel ( risque de conflit ).
Clique sur mise à jour, commence la mise à jour.
Clique sur analyse puis sur paramètres.
Clique sur actions recommandées puis sur quarantaine.
Ferme le programme.

1°) Redémarre ton PC en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou d'enregistrer dans un fichier texte ) la procédure.

1.1 - Désenregistrement des .dll

Le problème des .dll c'est qu'elles sont chargées en mémoire donc avant de les supprimer il faudra les désenregistrer. Voici comment faire :

Démarrer, Exécuter, et Tape ( ou copier/coller ) : regsvr32 /u C:\WINDOWS\System32\ddaba.dll

et valide par OK.

Refais la même chose avec : C:\WINDOWS\system32\gmcndasm.dll et ensuite avec : C:\WINDOWS\system32\hbjmdclb.dll

1.2 - Nettoyage avec AVG Anti-Spyware

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

Double-clique ATF Cleaner.exe afin de lancer le programme.

Main correspond à IE
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Lance AVG Anti-Spyware

Clique sur scanner, puis sur scan complet du système.

Si des fichiers malveillants sont trouvés :

Clique sur Appliquer toutes les actions
Clique sur enregistrer le rapport d'analyse.
Colle le rapport dans ton prochain message

Pour t'aider tu as deux tutos à ta disposition:

ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html

AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html

2°) Redémarre en mode normal

2.1 - Lance CCleaner

Nettoyage

Bouton Nettoyeur : Clique sur le bouton Analyse et ensuite sur le bouton Lancer le Nettoyage ( fais-le 2 fois ).
Bouton Registre : Clique sur le bouton Chercher les erreurs et une fois trouvées, Clique sur le bouton Réparer les erreurs sélectionnées. Accepte la sauvegarde du Registre, et clique sur Réparrer toutes les erreurs. Attend 1' ( pour permettre l'enregistrement de la nouvelle sauvegarde ) et recommence jusqu'à ce qu'il n'y ait plus rien.
Ferme CCleaner.
Redémarre ton PC normalement.

2.2 - Lance HijackThis

Copie/Colle un nouveau rapport HijackThis dans ta réponse

J'attens 2 rapports ( celui de AVG AS et celui de HijackThis ).

Cordialement.

Miiro · le 15 novembre 2007

Re Wong

Voila les 2 rapports demandés:

1) AVG AS

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 17:22 2007-11-15

+ Résultat de l'analyse:

Rien à signaler.

Fin du rapport

2) HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 17:32, on 2007-11-15

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Dell AIO Printer A920\dlbkbmon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\NOTEPAD.EXE