infection des la première connexion à Internet

[barcelone]

Bonjour,

 

Je suis nouvellement abonné à FREE et je n'ai pas choisi l'option Antivirus, antispam etc...

Cela fait 2 fois que je formate mon PC et qu'il est immédiatement infecté par Win32 Sality entre autres des la première connexion. J'ai lu des choses sur ce virus et je ne suis pas très rassuré.

J'ai pris soin d'installer Avast avant tte connexion comme on me l'avait conseillé mais le visus passe quand même et l'utilisation d'Internet est quasi impossible (lenteur extrême, écran bloqué, messages de compte à rebours éteignant le PC au bout d'une minute etc...). Je suppose que tt cela est du au virus...

Au dernier scan d'Avast après qqs 40 aines et suppressions, aucun virus n'est détecté mais Internet fonctionne tjrs très lentement.

L'utilisation de mon PC portable professionnel en wifi sur la même ligne marche bien.

 

Je joins en annexe le rapport Hijackthis qui ne me parle pas du tout...

 

Merci de me dire ce que vous me conseilleriez:

_ Nouvel antiVirus après reformatage?

- abonnement au service de protection de FREE?

- autres causes à rechercher?

 

Merci mille fois

 

Barcelone

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:35:37, on 24/03/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\WINDOWS\System32\pctspk.exe

C:\WINDOWS\System32\ESB.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\firewall.exe

C:\WINDOWS\System32\wrwkdw.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\dllcache\wintcps.exe

C:\WINDOWS\pdf.exe

C:\WINDOWS\System32\sams.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe

C:\WINDOWS\System32\cmd.exe

C:\Program Files\Avast4\setup\avast.setup

C:\WINDOWS\System32\kbrvvi.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\daenbejc.exe

C:\Program Files\hijackthis\HiJackThis.exe

C:\Program Files\HijackThis\trendmicro\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\pdf.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {12992743-C17E-4057-8836-8781213BD2F4} - C:\WINDOWS\System32\gebaxust.dll

O2 - BHO: (no name) - {9292C2AD-D36E-4051-AF6D-0C6D2AEE0C10} - C:\WINDOWS\System32\cbxxyxww.dll

O2 - BHO: {53427dc8-f9d5-9779-f824-83c5f45f8779} - {9778f54f-5c38-428f-9779-5d9f8cd72435} - C:\WINDOWS\System32\ykdqtekw.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\daenbejc.exe

O4 - HKLM\..\Run: [bM77042150] Rundll32.exe "C:\WINDOWS\System32\bqjfbmeg.dll",s

O4 - HKLM\..\Run: [743712cc] rundll32.exe "C:\WINDOWS\System32\tpmidxhr.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-343818398-1060284298-1343024091-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O20 - Winlogon Notify: cbxxyxww - C:\WINDOWS\SYSTEM32\cbxxyxww.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe

O23 - Service: Print2Email - Unknown owner - C:\WINDOWS\pdf.exe

O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe

[Zonk]

Bienvenue sur le forum

_ Nouvel antiVirus après reformatage?

Oui.....Antivir Free (gratuit)

Antivir Free

http://tutopat.hostonet.org/viewtopic.php?t=2417

 

.....surveille à bien activer la recherche de " rootkits" et "scan master boot sector"

(ces fonctions sont souvent oubliées par les gens)

 

Cherche à activer le mode "Expert" et à optimiser la recherche des menaces...

(et personnellement dans l'onglet "scanner" j'active tout les items dans

"Rootkit search" et

"Manual selection"

Aide en image message #184

Aide en image message #113

 

- abonnement au service de protection de FREE?

Selon moi non (on va te conseiller des gratuits très performants)

 

- autres causes à rechercher?

Que oui!

Ton XP n'a pas le minimum requis pour aller ce balader sur le net pour faire ses mises à jour ...pare-feu??? tu connais ?

et applique ceci:

http://www.zebulon.fr/dossiers/45-installa...-securisee.html

....et de cette facon ca devrait aller.....pense à vérifier si ton routeur avec pare-feu intégré est bien configuré....ca augmente de beaucoup la protection

@+

Modifié le 25 mars 2008 par Zonk

[titeuf]

Comme tu es chez FREE, la 1ere chose a faire serait de passer ta freebox en routeur. (type d'adresse 192.168.1.XXX)

les attaques seraient deja moins violentes et moins directes dès le debut..

[pear]

Bonjour à tous,

 

Il y a plusieurs infections.

 

Télécharger MSNFix.zip (de !aur3n7) sur le bureau.

http://sosvirus.changelog.fr/MSNFix.zip

* Décompressez-le (clic droit >> Extraire ici) et double-cliquez sur le fichier MSNFix.bat.

* Exécuter l'option R.

* Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

* Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

 

* Télécharger SDFix (créé par AndyManchesta) et le sauvegarder sur le Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas:

Démarrer->Exécuter

Copiez/collez ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

 

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Décocher la Restauration sur tous les lecteurs.

Vous la rétablirez par la suite.

Télécharger VundoFix.exe (par Atribune) sur leBureau.

 

* Double-cliquer VundoFix.exe afin de le lancer

* Cliquer sur le bouton Scan for Vundo

* Lorsque le scan est complété, cliquer sur le bouton Fix Vundo

* Une invite demandera si vous voulez supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Une invite annonce que le PC va redémarrer; cliquer OK

* Copier/coller le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans la prochaine réponse

 

 

Vous aller télécharger Combofix.

Auparavant, et pour pour éviter quelque mauvaise manoeuvre avec ce logiciel très puissant,lisez attentivement ce tutoriel:

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

 

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

 

 

Télécharger combofix.exe de sUBs et sauvegardez le sur le bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

* Taper sur la touche 1 pour démarrer le scan.

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Lorsque le scan sera terminé,( cela pourrait prendre un certain temps),un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

 

 

Vous posterez tous les rapports et un nouvel Hijackthis.