[RÉSOLU] Rapport HijackThis suite à infections SVP

[Sacros]

salut Zonk,

J'ai réussi à débloqué le PC infecté par clef USB, mais pas moyen de télécharger le prog d'Apollo...virtus stop tout..

J'ai essayé de le téléchargé avec celuilà (propre......) le même phénomène se produit. Dès que je télécharge ou installe flash, antivir l'arrête à cause de cette cochonne rie ddeAPPL/NirCmd.2 ils ne le connaissent pas chez antivir.

@plus merci

Ð

[Zonk]

salut Zonk,

J'ai réussi à débloqué le PC infecté par clef USB, mais pas moyen de télécharger le prog d'Apollo...virtus stop tout..

J'ai essayé de le téléchargé avec celuilà (propre......) le même phénomène se produit. Dès que je télécharge ou installe flash, antivir l'arrête à cause de cette cochonne rie ddeAPPL/NirCmd.2 ils ne le connaissent pas chez antivir.

@plus merci

Ð

Rendu à ce point,peut être désactiver Antivir quelques minutes pour faire l'installation ??.

@+

[angelique]

bah oui faut allow access , desactiver antivir temporairement le temps de passer l'outils

 

Virus or unwanted program 'APPL/NirCmd.3 [APPL/NirCmd.3]'

detected in file 'C:\Documents and Settings\angelique\Mes documents\logs_rat\fix\Flash_Disinfector.exe.

Action performed: Allow access

[Sacros]

Bonjour Angélique

Je te remercie de m'avoir débloqué........

Mon clavier étant inutilisable, je viens d'en trouver un autre.......

cordialement,

Ð

[Sacros]

Bonjour à tous et à chacun,

Apollo.01, vici ce que tu m'as demandé: (j'ai eu beaucoup de mal avec flash,pas évident;.)

Après démarrage, j'ai eu par antivir résident deux alertes: APPL/TOOL.PsKill.2 et APPL/NirCmd.2. J'ai fait le nettoyage après.

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 24/11/2007 a 18:31:45,45

-----------------------------------

Rapport clean

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

tentative de suppression de C:\autorun.inf

Impossible de supprimer C:\autorun.inf

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

 

*** Suppression des fichiers dans C:\Program Files

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

 

----------------------------------------------------

Rapport AVG AS

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: --- Ð --- 14:22:41 25/11/2007

 

+ Résultat de l'analyse:

 

 

 

Rien à signaler.

 

 

 

Fin du rapport

 

------------------------------------------------

Rapport HJT

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at --- Ð --- 15:09:45, on 25/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\netdde.exe

D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

D:\Program Files\IcoSauve\IcoSauve.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\clipsrv.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\tlntsvr.exe

C:\WINDOWS\system32\mqsvc.exe

C:\WINDOWS\system32\mqtgsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cidaemon.exe

D:\HiJackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7Pro\IE7Pro.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [WinPatrol] D:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [uberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [Gadwin PrintScreen] "D:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe" /nosplash

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: IcoSauve.lnk = D:\Program Files\IcoSauve\IcoSauve.exe

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1191746421437

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1191825686859

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 8157 bytes

 

merci.

[Apollo]

Bonjour,

 

On va essayer ceci:

 

Rechercher et éliminer ces fichiers du disque s'ils sont présents:

 

RavMonLog

AdobeR.exe

Autorun.inf

 

Faire de même avec les clés usb mais attention!

 

Tu ne dois pas double-cliquer sur la lettre du support amovible mais faire un clic droit dessus et "explorer" pour rechercher et éliminer ces fichiers, si présents.

 

Relance alors FlashDisinfector avec la/les clé(s) connectées.

 

@ +tard.

NB: désactive le "Tea Timer" dans Spybot S&D ainsi que l'antivirus (complètement).

Déconnecte physiquement le pc du net pour faire ça, afin de ne pas choper autre-chose.

Modifié le 25 novembre 2007 par Apollo.01

[Thanos]

salut Sacros, Apo

 

Sacros, patiente un peu avant d'effectuer les recherches demandées, le temps qu'Apollo.01 modifie sa procédure

N'élimine aucun fichier pour le moment

Poste ce rapport stp pour en voir plus >

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.

Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree

Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte.

A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip

Envoie le fichier stp : si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter]

pour obtenir le rapport. S'il ne s'affiche pas, tu le trouvera dans le répertoire C:\ > il se nomme resultat.txt

 

@++

Modifié le 25 novembre 2007 par charles ingals

[Apollo]

Re,

 

Merci Charly

 

1) Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

 

Lance Hijackthis, clique sur "do a system scan only" et coche la case devant cette ligne:

 

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

Ferme toutes les fenêtres sauf Hijackthis et clique sur "Fix Checked". On le récupérera dans les backup par la suite si tu tiens à garder le Tea Timer.

 

2) Il faut que tu désactives la protection d'Antivir avant de télécharger Flash Disinfector et le temps du scan. Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le en fin de scan.

 

3) Elimine Flash Disinfector que tu as téléchargé auparavant, puis télécharge-le de nouveau.

 

-Vérifie la présence des ces fichiers sur le disque:

 

RavMonLog

AdobeR.exe

Autorun.inf

 

Il faut les supprimer et vider la corbeille de suite.

 

Ils sont peut-être cachés; pour les faire apparaître, procéder comme suit:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

Pour les recacher, suis le même chemin et sous l'onglet Affichage, fais exactement l'inverse avec les cases ou clique sur "Paramètres par défaut".

 

** pour vérifier la présense des ces fichiers sur la/les clé(s), ne surtout pas double-cliquer sur le lettre du support amovible, mais faire un clic droit et dans l'arborescence, cliquer sur "Explorer"

 

S'ils sont présents, les éliminer et vider la corbeille.

 

Lancer le nouveau Flash Disinfector que tu auras re-téléchargé avec la/les clés USB connectées.

 

@ demain.

[Sacros]

Bonsoir à tous.......

 

Sur la clef USB du copain, j'ai trouvé RavMonLog Supprimé.

Sur ma clef USB trouvé Autorun.inf supprimé

Sur mon disque D:\ j'ai trouvé Autorun.inf supprimé.

Sur C:\ rien trouvé.

 

Sur mon poste de travail C:; D:Je n'ai pas trouvé un seul des trois demandés.

 

Voici les rapports:

 

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 26/11/2007 a 16:14:53,26

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

tentative de suppression de C:\autorun.inf

Impossible de supprimer C:\autorun.inf

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

 

*** Suppression des fichiers dans C:\Program Files

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

-------------------------------------

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: --- Ð --- 17:25:35 26/11/2007

 

+ Résultat de l'analyse:

 

 

 

Rien à signaler.

 

 

 

Fin du rapport

 

_________________

 

Voilà; sans ouvrir la fenêtre-------------->

 

Merci

Ð

[Sacros]

Re,

J'avais supprimé autorun.inf de D:\

En recherchant *.inf, j'ai trouvé autorun.inf D:\. Il y est en fichier caché.

Mais il ne s'appelle pas comme cela dans propriété. Il se nomme lpt3. Il est impossible de le supprimer et une fenêtre marque:

 

"Impossible de supprimer lpt3. This folder was created by Flash_Disinfector; le fichier spécifié est introuvable. Vérifiez que le cheminet le nom du fichier spécifiés sont corrects."

 

Cordialement, à demain...

Ð