[ RESOLU ] Infection Win32

[oGu]

Ok, c'est déjà mieux.

 

 

 

 

Supprimer un fichier infectieux avec OtMoveIt

• Télécharge OTMoveIt sur ton bureau
   
  http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
   
   
  
• Double clic sur OTMoveIt.exe
  
• Sélectionne et copie la ligne ci-dessous
   
  C:\WINDOWS\htssv32.exe
   
   
  
• Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
  
• Clic sur le bouton rouge MoveIt
  
• Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clic sur "Yes"
  
• Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles
   
   
  
• Relance HijackThis
  
• Sélectionne "Do a scan only"
  
• Coche les lignes suivantes:
   
  O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
  O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab
  O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab
   
  
• Clique en bas sur "Fix checked"
  
• Redémarre
   
   
  
• Télécharge CCleaner Slim:
   
  http://www.ccleaner.com/download/builds/downloading-slim
   
   
  
• Installe-le, lance-le et clique sur l'onglet : "Registre"
  
• Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"
  
• Répond "oui" à la demande de sauvegarde proposée
  

 

 

 

*****************************************************************

 

 

Je note que tu as un logiciel de peer-to-peer: LimeWire

 

Merci donc de relire:

 

-la charte du forum:

 

http://forum.zebulon.fr/index.php?act=SR&f=40

 

-l'article sur les dangers des cracks:

 

http://forum.zebulon.fr/index.php?showtopic=85544

 

Va faire un tour sur le forum de désinfection, il y a autant d'infections dûes à MSN qu'au peer-to-peer: merci donc de désinstaller LimeWire sous peine de nouvelle infection (et on ne se décarcasse pas pour que tu reviennes dans 2 mois !!

 

*****************************************************************

 

 

Je note également que tu as installé le logiciel Desktop Messenger, qui ne sert à rien à part t'envoyer des pubs: il est censé permettre à l'utilisateur de tirer profit de son matériel Logitech: en réalité il installe BackWeb, un soft louche qui se connecte à Logitech pour faire on ne sait trop quoi...Je te conseille dons de désinstaller Logitech Desktop Messenger (et uniquement Desktop Messenger!!) en plus de LimeWire.

 

 

 

*****************************************************************

• 
  
• Poste un nouveau log HijackThis que l'on fasse le point.
  

Modifié le 23 janvier 2008 par ogu

[Nax0o]

j'ai fais comme tu m'as dit mais le logiciel OTMoveIT me dit que ca va pas enfin ca met a coté dans résultats :

 

File/Folder C:\WINDOWS\htssv32.exe not found.

 

Created on 01/23/2008 16:30:34

 

par contre je sais que limwire c'est illégal et tout avec les téléchargements mais la j'peut pas le supprimer enfin j'voudrais savoir si je pouvait le garder pour enlever le virus que j'ai attrapé ? enfin a par ca dans mon ordi ca va ou c'est l'horreur ?

Modifié le 23 janvier 2008 par Nax0o

[oGu]

Tiens...Pourtant HijackThis le fait apparaître.

 

Poursuis la procédure s'il te plaît, y compris en supprimant LimeWire (le téléchargement n'est pas vital !!), sinon pour ma part j'arrête de t'aider, je ne donne pas de mon temps pour désinfecter si les risques d'infections sont encore là car l'utilisateur refuse de prendre des précautions. Pour ma part je me moque que cela soit illégal (je n'ai pas d'actions chez Universal!!), la seule chose que je mets en avant, c'est que le peer-to-peer est un nid à virus, c'est tout !!

 

Sinon ton PC n'est pas une poubelle, non!!

Modifié le 23 janvier 2008 par ogu

[Nax0o]

oki merci d'avoir répondue vite donc je vais faire ce que tu dis et je continue en faisant le hisjackthis !

 

edit : alors je viens re refaire un hisjack et j'ai supprimé les 3 éléments comme tu m'as dit et j'ai supprimé Limewire et Logitech Desktop Messenger la je vais télécharger CCleaner Slim !

 

edit 2 : alors la j'ai installé le logiciel mais c'est en faite ' PC Registry Cleaner '

enfin je sais pas si j'me suis trompée mais le pire c'est que j'ai fait un scan et il me trouve 420 infections et qu'il veut que je paye pour les réparer . ( enfin il me dit 40 )

Modifié le 23 janvier 2008 par Nax0o

[oGu]

edit 2 : alors la j'ai installé le logiciel mais c'est en faite ' PC Registry Cleaner '

enfin je sais pas si j'me suis trompée mais le pire c'est que j'ai fait un scan et il me trouve 420 infections et qu'il veut que je paye pour les réparer . ( enfin il me dit 40 )

 

De quoi parles-tu?? Pourquoi as-tu installé ce truc??

 

STP contente-toi de suivre mes indications, sinon on s'en sortira pas!!

 

Ce nettoyeur de registre t'a simplement trouvé des clés obsolètes qui ne SONT PAS des infections. Ne paye rien du tout et désinstalle-le.

 

Termine la procédure s'il te plaît.

Modifié le 23 janvier 2008 par ogu

[Nax0o]

ben j'ai installé le logiciel que tu m'as dit dailleur tu m'as donné le lien et j'suis tombé sur le logiciel 'PCRegistryCleaner'

mais justement je fais ce que tu me dis

ok ben je le desinstalle et je fait un nouveau rapport hisjack !

 

edit : Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:30:44, on 23/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\WINDOWS\system32\PSIService.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Acer\Acer Arcade\PCMService.exe

C:\acer\epm\epm-dm.exe

C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Corel\Corel MediaOne\CorelIOMonitor.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\AVerTV Hybrid + FM Cardbus\AVerQT.exe

C:\Program Files\PC Registry Cleaner\PCRegistryCleaner.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Program Files\Corel\Corel MediaOne\CorelIOMonitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [htssv32.exe] C:\WINDOWS\htssv32.exe

O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Fichiers communs\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O4 - Global Startup: QuickTV6.lnk = C:\Program Files\AVerTV Hybrid + FM Cardbus\AVerQT.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

 

--

End of file - 10883 bytes

Modifié le 23 janvier 2008 par Nax0o

[oGu]

ben j'ai installé le logiciel que tu m'as dit dailleur tu m'as donné le lien et j'suis tombé sur le logiciel 'PCRegistryCleaner'

 

????

 

Je ne t'ai jamais donné ce lien, je ne connais même pas ce logiciel!!

 

Dis-moi STP dans quel message je t'ai indiqué de télécharger ce logiciel.

 

Analyse du log en cours...

[Nax0o]

[*] Télécharge CCleaner Slim:

 

http://www.ccleaner.com/download/builds/downloading-slim

[*] Installe-le, lance-le et clique sur l'onglet : "Registre"

[*] Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"

[*] Répond "oui" à la demande de sauvegarde proposée

*****************************************************************

 

ce lien au dessus.

[oGu]

Le lien dont tu parles permet de télécharger CCleaner Slim, j'ai essayé plusieurs fois sans rencontrer autre chose que ce logiciel.

 

******************************************

 

 

 

Il reste un fichier infectieux:

 

O4 - HKLM\..\Run: [htssv32.exe] C:\WINDOWS\htssv32.exe

 

Peux-tu s'il te plaît recommencer la procédure avec OtMoveIt ??

Modifié le 23 janvier 2008 par ogu

[Nax0o]

ok j'le fait tout de suite !

edit : ca me fait la meme chose que tout a l'heure :s.

 

je recoit ce message d'alerte :

 

http://img254.imageshack.us/my.php?image=a...issementvt2.png

 

et meme si je met OTMoveIT dans mon disque dur C:/ ca fait pareil :s

 

edit 2 : en faite j'avais cliqué sur autre chose sur la page donc finalement j'ai installé CClealner Slim et je fais ce que tu ma dis de faire avec ce logiciel !

Modifié le 23 janvier 2008 par Nax0o