[RESOLU] infecté par win32, enfin je crois ...

[Gof]

Bonjour mamoussa

 

Oui on parle bien de la même chose, seulement voilà à quoi ça ressemble chez moi : http://dl.free.fr/ndUOIkeeX/fdgs.JPG

Bien que la page soit finie d'être chargée (terminé en bas de la page), j'obtient ce qu'il y a sur le screen : càd rien.

Tu sembles avoir un souci d'affichage en effet. Le souci est il aussi présent si tu ouvres Zebulon avec Internet explorer ?

 

L'ordi rame moins aussi, bon c'est pas glorieux, mais c'est vivable au moins.

C'est déja ça. Un bon nettoyage, une vérification de disques, une défragmentation, bref un entretien "ordinaire" du pc, et tout devrait déja mieux se passer. Tu n'avais pas ces soucis de lenteur lorsque tu étais multi-infecté ??

 

J'ai effectivement un cd de restauration constructeur ...?

Ok, je demandais en cas de souci système. Un cd constructeur n'est guère utile. Tant pis, mais on n'en est pas là de toute façon.

[mamoussa]

bizarre bizarre, avec ie ça ne plante pas, pourtant je me sert toujours de firefox, et avant ça marchait.

Peut-être est-ce les manips que j'ai fais sur ie, il est repassé navigteur principal, ou je ne sais quoi..

 

Quand j'étais multi-infecté mon ordi était si lent qu'il était figé, il me fallait entre 20 et 30 minutes pour ouvrir une image situé dans un dossier du bureau ...

Tu as accompli un miracle donc !

 

eu pour le hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:24:53, on 20/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\Bluetooth Monitor\BtMon2.exe

C:\Program Files\My Book\WD Backup\uBBMonitor.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Bluetooth Monitor.lnk = ?

O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{19F22112-E1A6-4C4E-A249-E197486A8BB7}: NameServer = 212.27.54.252,212.27.53.252

O17 - HKLM\System\CS1\Services\Tcpip\..\{19F22112-E1A6-4C4E-A249-E197486A8BB7}: NameServer = 212.27.54.252,212.27.53.252

O17 - HKLM\System\CS2\Services\Tcpip\..\{19F22112-E1A6-4C4E-A249-E197486A8BB7}: NameServer = 212.27.54.252,212.27.53.252

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

--

End of file - 6610 bytes

 

Au passage : l'affichage est revenu à la normale

Modifié le 20 janvier 2008 par mamoussa

[Gof]

Bonjour mamoussa

 

Content que tout soit rétabli pour ton affichage. Normalement, si tu avais bien suivi mes consignes précédentes, les outils que nous avons utilisés ont été désinstallés, il ne te reste que HijackThis. Tu peux à présent le désinstaller si tu le souhaites.

 

Nous avons effacé tes anciens points de restauration qui contenaient des fichiers infectieux. Et tu ne devrais plus avoir de soucis particuliers.

 

Si c'est bien le cas, on enchaîne tranquillement sur quelques petits conseils "maison", et je te laisse filer. Sinon, indique moi les nouveaux soucis que tu rencontres.

 

A bientôt.

[mamoussa]

Eh bien il me reste aussi vundofix et flash desinfector.

 

Non mon ordi ne semble plus avoir de problème, tu as accompli un miracle !

Sans rire je te remercie du fond du coeur, j'ai cru que la seule solution aurait été de tout remettre à zéro, et ainsi perdre énormément de donnés. (Mon disque n'est pas partitionné, et je ne sais pas comment faire)

 

Et si tu veux bien prendre le temps de me donner quelques conseils je suis preneur !

[Gof]

Re Mamoussa

 

Supprime donc le fichier vundofix.exe (sur ton bureau normalement), le répertoire vundofix backups qui se toruve à la racine, ainsi que les rapports vundofix.txt. Je te suggère de supprimer Flashdisinfector, comme ça si tu en as besoin il te faudra le retélécharger et tuseras sûr d'avoir une version à jour. Nous ne l'avons pas utilisé ensemble cet outil d'ailleurs.

 

(Mon disque n'est pas partitionné, et je ne sais pas comment faire)

 

Et si tu veux bien prendre le temps de me donner quelques conseils je suis preneur !

Pour ce qui est du partitionnement et de la sauvegarde de données, ce n'est pas vraiment mon domaine, il est préférable sur ce point que tu demandes conseil dans les autres sous-forums (software par exemple).

 

Malware Complaints.

• Je vais te demander un service à mon tour à présent, je te serais reconnaissant de rapporter ton infection sur Malware Complaints.

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
- Après t'être enregistré à l'aide du bouton en haut register
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age
 
Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)
---> http://www.malwarecomplaints.info/viewforum.php?f=10
 
Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688
canned de Malekal_morte : http://www.malekal.com/

• Dans ton cas, tu as été infecté par des variantes Vundo "nouvelle génération" surtout, le sujet

Autres infections sera le plus approprié. Merci par avance

Conseils de prévention

• Je t'invite à consulter ce sujet :

Utiliser un compte limité où y est condensé le meilleur moyen de se prévenir d'infections en utilisant de manière efficace les disponibilités offertes de restrictions par Xp et la gestion des droits

• Plus généralement, je t'invite à consulter cette

page où tu trouveras une concentration de divers liens d'articles de prévention, de téléchargements d'utilitaires et de tutoriels associés, ainsi que cet article abordant la sécurité sous un angle généraliste avec des liens permettant d'approfondir.

• Si tu n'as plus de questions, pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".
  

A bientôt.

[mamoussa]

Voilà !

 

Et eu oui une dernière petite chose si tu pouvais me dire quoi enlever : http://dl.free.fr/n1B9mHZhS/Sanstitre.JPG, j'ai traffiqué avec paint pour que tu vois tout ce qui est actif.

 

[edit] : avg par ex n'est utile qu'infecté puisque j'ai kaspersky, non ?

Modifié le 21 janvier 2008 par mamoussa

[Gof]

Re

 

Alors, là, j'ai une petite réponse en matière d'optimisation qui ne va peut-être pas te plaire, mais c'est la plus pédagogique

 

Je vais t'indiquer quelques pistes, de sorte que tu fasses tes essais par toi même. Car une optimisation est toujours très subjective.

• Un tuto sur MsConfig
  
• un tuto pour pour configurer tes services.
  

De même,

• même si l'optique de Zebprotect est orientée sécurité, c'est autant de services désactivés automatiquement.
  
• Zeb-utility peut permettre aussi d'automatiser certaines astuces disponibles sur Zebulon, et de revenir en arrière très facilement.
  Pour finir, avant de tout essayer, regarde du côté de
  • Boot Time de Sebdraluorg afin de quantifier le gain de temps obtenu au démarrage, cela te permettra de visualiser objectivement le résultat obtenu.
    

  L'optimisation des processus qui se lancent au démarrage n'est pas toujours facile, il y a les processus que l'on voit (dans msconfig, dans les logs hijackthis, dans les clés run de la base de registre), puis il y a tous les autres (en services). Pour cette raison, je t'ai indiqué quelques tutos (services, de tesgaz) et quelques petits softs tout simples tels que zebprotect, zebutility, etc. Avant de commencer toute manipulation, je te conseille de créer un point de restauration via windows et/ou une sauvegarde de la base de registre, même si tous les tools proposés ont tous une "option" de sauvegardes.

   

  Pour les processus visibles du démarrage, je te préconise de faire à ton niveau quelques essais via MSCONFIG, afin de trouver le meilleur rapport confort/rapidité possible. Là c'est subjectif, cela dépend de toi. On peut considérer que le pare-feu, l'antivirus et l'antispyware, sont les seuls processus réellement importants à garder en automatisé au démarrage et à ne pas toucher.

   

  Les autres ne sont que des options de conforts généralement, qui peuvent être très bien appelés au besoin, via le menu démarrer. Il ne me semble pas nécessaire de les avoir en démarrage automatique.

   

  Je ne suis pas sûr que cela te rende service que je t'indique arbitrairement "fixe ci" ou "fixe ça". En consultant les tutos, msconfig et services, en essayant et testant les applications d'optimisation, tu apprendras beaucoup sur ton pc et tu pourras à l'avenir revenir sur une option qui ne te convient pas, en rajouter, ou même aider quelqu'un à le faire

[mamoussa]

OK ! Bien merci pour tout gof, tes interventions sont très claires et très pédagogique, bonne continuation donc :P