Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

C'est parti!

 

Tu es infecté par un virus très récalcitrant que, perso, je ne connaissais pas: DELF

 

Ton cas est en discussion sur l'Espace Sécurité du forum, donc ne t'en fais pas tu es entre de très bonnes mains!

 

Cela ne t'intéressera sans doute pas, mais je vais donner quelques détails techniques qui seront utiles, lors d'une recherche Google par exemple, à des collègues désireux d'intervenir sur une infection équivalente à la tienne.

 

Merci à Qc001 de s'être penché avec autant d'enthousisame sur cette infection et de m'avoir donné les infos suivantes!

 

----> Delf installe une .dll BHO (02) qui ressemble à du Vundo (mais il n'y a pas de hook en 020) , et qui ne peut pas être supprimé par des outils basiques tels HijackThis ou OtMoveIT, ou un RegFix.

 

Ici, la dll infectieuse se nomme DBMSVIN.DLL, et peut prendre aussi les noms suivants: (merci Pear!)

 

* DESKMO.DLL

* DSPRO.DLL

* CABINE.DLL

* 60362814.DLL

* 28726702.DLL

* 52184682.DLL

* 34313754.DLL

* 52886824.DLL

* 48021451.TXT

* 22142693.DLL

* 57864552.DLL

* DBMSVIN.DLL

* DMCONFI.DLL

* AVIFIL.DLL

* DDEM.DLL

* COMMDL.DLL

* FLTLI.DLL

* 87622229.DLL

* BATMETE.DLL

* ADPTI.DLL

* CERTMG.DLL

* ADSN.DLL

* 55751813.DLL

* DNSAP.DLL

* 29995356.DLL

* 30799096.DLL

* 74958059.DLL

* DPNE.DLL

 

La dll est accompagnée de rootkits/services cachés, avec pilote en .dat. Le .dll et les .dat sont parfois lockés et les dates de création sont truquées.

 

 

Dans ton cas, d'après le log ComboFix, on repère:

 

2008-02-23 10:29 19,584 ----a-w C:\WINDOWS\system32\drivers\arjkevag.dat</FONT> << le rootkit (Driver / Service)

 

Voilà! On passe maintenant à la désinfection de ton infection, et on uploadera également les fichiers infectieux à sUBs, le développeur de ComboFix (

 

 

 

 

CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

  • Ouvre un nouveau fichier du Bloc-notes
  • "Copie/Colle" tout le contenu de la boîte Code ci-bas dans le fichier (incluant l'URL mais pas le mot "Code"):
     
    http://forum.zebulon.fr/index.php?showtopic=141750
    
    Collect::
    C:\WINDOWS\system32\drivers\arjkevag.dat
    C:\WINDOWS\system32\dbmsvin.dll
    
    Driver::
    lvqolsms
    
    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{308FA211-78FE-4D86-B405-50E0361AF78F}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ajzedll]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ajzeenc]


  • Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt
     
    ATTENTION: ce script a été conçu spécifiquement pour le cas de Yugm, ne pas l'utiliser pour votre propre machine!!

  • Désactive ta suite McAfee
     

  • Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
    ComboFix sera lancé.

    CFScript.gif
  • ComboFix créera ces fichiers sur ton Bureau :
    • Un fichier zippé nommé Submit [Date Time].zip
    • Un second fichier nommé - CF-Submit.htm

    [*]ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.

    [*]Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.

    [*]Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"

    [*]Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :

    • Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
      Submit [Date Time].zip qui est sur ton Bureau.
    • Clique sur le fichier afin de le sélectionner.
    • Soumets le fichier en cliquant "OK"

    [*]Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.

    [*]Enfin, poste les deux rapports suivants dans ta prochaine réponse :

     

    - Combofix.txt

    - Un nouveau rapport HijackThis

Modifié par oGu

Posté(e)

Bonsoir oGu

 

Je viens de démarrerla nouvelle procédure et ça ne semble pas fonctionner correctement.

 

ok pour CFScript.txt et désactivation McAfee mais je n'ai pas ces 2 fichiers sur le bureau

 

CFScript.gif

[*]ComboFix créera ces fichiers sur ton Bureau :

  • Un fichier zippé nommé Submit [Date Time].zip
  • Un second fichier nommé - CF-Submit.htm

[*]ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.

.

le redémarrage s'est bien fait avec le rapport COMBOFIX mais pas la nouvelle fenêtre ci-dessous et j'ai donc dû relancer mon navigateur

 

[*]Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"

[*]Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :

  • Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
  • Clique sur le fichier afin de le sélectionner.
  • Soumets le fichier en cliquant "OK"

[*]Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.

[*]Enfin, poste les deux rapports suivants dans ta prochaine réponse :

 

- Combofix.txt

- Un nouveau rapport HijackThis

[/color][/color]

 

et voici les rapports demandés

 

en 1: Combofix

ComboFix 08-04-03.3 - MAHE 2008-04-04 22:23:59.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.91 [GMT 2:00]

Endroit: C:\Documents and Settings\MAHE\Accessoires\Bureau\combofix.exe

Command switches used :: C:\Documents and Settings\MAHE\Accessoires\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\dbmsvin.dll

C:\WINDOWS\system32\drivers\arjkevag.dat

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_LVQOLSMS

-------\Service_lvqolsms

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-04 to 2008-04-04 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-03 17:36 . 2008-04-03 17:36 136 --a------ C:\WINDOWS\system32\yugm.reg

2008-04-02 14:10 . 2008-04-02 15:08 <REP> d-------- C:\Downloads

2008-04-02 14:10 . 2008-04-02 15:08 <REP> d-------- C:\Bases

2008-04-02 14:01 . 2008-04-02 15:14 <REP> d-------- C:\Kaspersky

2008-04-01 22:19 . 2008-04-01 22:19 <REP> d-------- C:\Documents and Settings\MAHE\Application Data\Malwarebytes

2008-04-01 22:18 . 2008-04-01 22:18 <REP> d-------- C:\Malwarebytes' Anti-Malware

2008-04-01 22:18 . 2008-04-01 22:18 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Malwarebytes

2008-03-31 21:08 . 2008-03-31 21:08 <REP> d-------- C:\VundoFix Backups

2008-03-30 18:09 . 2008-03-30 18:09 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\PC Tools

2008-03-30 15:10 . 2008-03-30 15:10 583 --a------ C:\WINDOWS\system32\Raccourci vers notepad.exe.lnk

2008-03-30 00:35 . 2008-03-30 00:35 <REP> d-------- C:\_OTMoveIt

2008-03-27 19:49 . 2008-03-27 20:21 <REP> d-------- C:\Program Files\Navilog1

2008-03-27 19:39 . 2008-04-04 21:40 3,218 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP

2008-03-27 19:22 . 2008-03-29 23:49 1,298 --a------ C:\WINDOWS\system32\tmp.reg

2008-03-27 12:44 . 2008-03-28 18:04 13,030 --a------ C:\PDOXUSRS.NET

2008-03-27 12:43 . 2008-03-27 12:43 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared

2008-03-27 12:43 . 1999-01-20 06:01 210,032 --a------ C:\WINDOWS\system32\DBCLIENT.DLL

2008-03-27 12:43 . 1999-11-12 06:11 183,808 --a------ C:\WINDOWS\system32\BDEADMIN.CPL

2008-03-27 12:42 . 2008-03-27 12:43 <REP> d-------- C:\Program Files\ZebHelpProcess 2

2008-03-25 11:44 . 2008-03-25 11:44 <REP> d-------- C:\Program Files\Trend Micro

2008-03-21 19:13 . 2007-12-06 17:51 28,568 --a------ C:\WINDOWS\system32\drivers\AVHook.sys

2008-03-21 19:13 . 2007-12-06 17:51 21,912 --a------ C:\WINDOWS\system32\drivers\AVRec.sys

2008-03-21 19:13 . 2008-02-12 12:44 21,904 --a------ C:\WINDOWS\system32\drivers\AVFilter.sys

2008-03-21 18:07 . 2008-03-30 14:31 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\fssg

2008-03-08 18:59 . 2008-03-09 11:13 <REP> d-------- C:\WINDOWS\SxsCaPendDel

2008-03-06 20:33 . 2008-03-06 20:33 1,271,557 --------- C:\Program Files\wrar371fr.exe

2008-03-04 11:50 . 2008-03-04 11:50 <REP> d-------- C:\Documents and Settings\MAHE\Application Data\ItsLabel

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-04 20:32 --------- d-----w C:\Program Files\Wanadoo

2008-04-01 20:15 --------- d---a-w C:\Program Files\Common Files

2008-04-01 18:23 --------- d-----w C:\Documents and Settings\MAHE\Application Data\SiteAdvisor

2008-03-31 11:38 --------- d-----w C:\Program Files\jv16 PowerTools

2008-03-30 15:57 --------- d-----w C:\Program Files\Common

2008-03-26 15:15 --------- d-----w C:\Program Files\CCleaner

2008-03-22 14:10 --------- d-----w C:\Program Files\AlertInfo

2008-03-08 16:59 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-03-01 08:51 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\McAfee

2008-02-27 08:07 --------- d-----w C:\Program Files\SiteAdvisor

2008-02-26 08:01 --------- d-----w C:\Program Files\fsupport

2008-02-26 08:01 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-02-23 14:35 --------- d-----w C:\Program Files\McAfee

2008-02-23 09:11 --------- d-----w C:\Documents and Settings\NetworkService.AUTORITE NT.001\Application Data\SiteAdvisor

2008-02-22 14:45 --------- d-----w C:\Documents and Settings\MAHE\Application Data\AlertInfo

2008-02-22 12:42 --------- d-----w C:\Documents and Settings\LocalService.AUTORITE NT.001\Application Data\SiteAdvisor

2008-02-22 12:42 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\SiteAdvisor

2008-02-22 12:38 --------- d-----w C:\Program Files\Fichiers communs\McAfee

2008-02-22 12:37 --------- d-----w C:\Program Files\McAfee.com

2008-02-22 09:50 --------- d-----w C:\Documents and Settings\MAHE\Application Data\McAfee

2006-08-24 09:08 9,258,851 -c--a-w C:\Program Files\gestionnaire_internethd.exe

2006-08-01 15:07 1,465,856 -c--a-w C:\Program Files\DSLTest.exe

2006-07-05 16:09 5,290,525 ----a-w C:\Program Files\Photo3D.exe

2006-06-29 07:21 576 -c--a-w C:\Program Files\INSTALL.LOG

2006-06-20 13:55 2,883,214 -c--a-w C:\Program Files\UpgradeFranceOfficev9.1.zip

2006-06-03 10:18 9,663,232 -c--a-w C:\Program Files\OutlookExpress506FRA.bin

2006-02-16 13:26 12,814,336 -c--a-w C:\Program Files\mp10setup.exe

2006-01-24 08:43 3,530,812 -c--a-w C:\Program Files\looksnavigateur.exe

2006-01-07 16:47 578,560 -c--a-w C:\Program Files\wanadoo_toolbarsetup.exe

2005-11-02 13:54 11,120,472 -c--a-w C:\Program Files\DivXPlay.exe

.

 

((((((((((((((((((((((((((((( snapshot@2008-04-03_20.12.40.92 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-04-03 17:30:24 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

+ 2008-04-04 15:53:52 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

- 2008-04-03 17:30:24 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Historique\History.IE5\index.dat

+ 2008-04-04 15:53:52 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Historique\History.IE5\index.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

"DelayShred"="C:\Program Files\McAfee\MSHR\ShrCL.exe" [2007-07-25 16:10 111904]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"EoEngine"="" []

"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]

"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-05 14:00 15360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"SpecifyDefaultButtons"= 0 (0x0)

"Btn_Search"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ :\WINDOWS\system32\srrstr.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4000 Series]

--a--c--- 2006-02-21 06:00 131072 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]

--a--c--- 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC-Checkup]

C:\Program Files\Speeditup Free\PCCheckUp\PCCheckUp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2006-04-04 16:12 77824 C:\Program Files\QuickTime\qttask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]

--------- 2004-10-14 16:55 32768 C:\Program Files\Wanadoo\GestMaj.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]

--------- 2004-10-14 16:55 32768 C:\PROGRA~1\Wanadoo\GestMaj.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Wanadoo\\WOOBrowser\\WOOBrowser.exe"=

"C:\\WINDOWS\\system32\\rundll32.exe"=

"C:\\WINDOWS\\explorer.exe"=

"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=

 

S2 dll32;FireDaemon Service: dll32;c:\winnt\system32\os2\dll\packs\FireDaemon.EXE []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2bc232cc-3035-11d9-b0e7-806d6172696f}]

\Shell\AutoRun\command - C:\ATI\SUPPORT\wxp-w2k-catalyst-7-94-030917m-011434c\Setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{605a9d26-b78e-11dc-b622-0090d0a8ed6f}]

\Shell\AutoRun\command - explorer.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-04-01 23:04:08 C:\WINDOWS\Tasks\McQcTask.job"

- c:\PROGRA~1\mcafee\mqc\QcConsol.exe.1262 7

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-04 22:32:35

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\dllhost.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\WINDOWS\system32\locator.exe

C:\PROGRA~1\McAfee.com\Agent\mcagent.exe

C:\WINDOWS\System32\vssvc.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\McAfee\MSC\mcuimgr.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-04-04 22:36:03 - machine was rebooted

ComboFix-quarantined-files.txt 2008-04-04 20:35:57

ComboFix2.txt 2008-04-03 18:13:26

Pre-Run: 10,264,514,560 octets libres

Post-Run: 10,294,403,072 octets libres

.

2008-03-12 20:10:50 --- E O F ---

 

en 2 :HijackThis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:14:09, on 04/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\PROGRA~1\McAfee.com\Agent\mcagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\explorer.exe

C:\Program Files\McAfee\MSC\mcuimgr.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DelayShred] "C:\Program Files\McAfee\MSHR\ShrCL.EXE" /P7 /q C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\MGWIU3H4\BAN_72~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\IFRAME~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\HP_1_~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\AP_ADV~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\04GXDK6S\INDEX_~4.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\AP_CPL~1.SH! C:\DOCUME~1\MAHE\LOCALS~1\TEMPOR~1\Content.IE5\PE428S8X\ADS_9_~1.SH!

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...235/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D43F0FA3-C5C4-46FC-B5E6-76E193C76ACA}: NameServer = 81.253.149.9 80.10.246.132

O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - c:\winnt\system32\os2\dll\packs\FireDaemon.EXE (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 6042 bytes

 

Désolé de ne pas mieux faire 0Gu

 

A+

Posté(e) (modifié)

Salut Yugm, bon week-end!

 

Désolé de ne pas mieux faire 0Gu

Je viens de démarrer la nouvelle procédure et ça ne semble pas fonctionner correctement.

 

Je trouve au contraire que tu te débrouilles plutôt bien: juge par toi-même:

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\dbmsvin.dll

C:\WINDOWS\system32\drivers\arjkevag.dat

 

La dll infectieuse et son driver ont bien été supprimés :P !!!

 

Jette un oeil à ton rapport HijackThis et tu constateras que la ligne:

 

O2 - BHO: (no name) - {308FA211-78FE-4D86-B405-50E0361AF78F} - C:\WINDOWS\system32\dbmsvin.dll

 

n'apparaît plus.

 

Bon travail, et BIG UP iconbiggringl9.gif à Qc001 qui m'a parfaitement guidé sur ce coup-là ! :P <-------Rickard's Red

 

 

 

mais je n'ai pas ces 2 fichiers sur le bureau

 

Dommage, sUBS ne pourra pas analyser ces fichiers, mais le dysfonctionnement ne semble pas être de ton fait, donc pas de regret.

 

Cette fenêtre:

 

Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira.

Clique "OK"Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :

 

est-elle néanmoins apparue?

 

 

Tout semble OK maintenant: notes-tu encore des dysfonctionnements, compris au niveau de ta connection??

 

 

 

flechedroitets2.png SUPPRESSION DES LOGICIELS DE DESINFECTION

 

Explications: Les logiciels que je t'ai fait utiliser ne doivent pas être utilisés sans connaissances sur leurs fonctions et leurs rôles: mal utilisés, ils peuvent plus de mal que de bien. Nous allons donc les désinstaller.

Efface:


  • Norton Removal Tool
  • UITool3-370a.zip et le dossier que tu as créé en le décompressant
  • RHOSTS

 

  • va dans ton Panneau de configuration, rubrique "Ajouter/Supprimer des programmes" et désinstalle:
    • Navilog1

 

 

  • Double clique sur OTMoveIt.exe
  • Clique sur le bouton CleanUp

  • Répond "yes" à la fenêtre "confirm" qui s'affiche

  • Répond "yes" à la seconde fenêtre "confirm" afin que ton PC redémarre

 

 

 

flechedroitets2.png OTMOVEIT #2

  • Double clique sur OTMoveIt.exe
  • Sélectionne et copie les lignes ci-dessous
     

    C:\Documents and Settings\All Users\Application Data\PC Tools
    C:\WINDOWS\system32\yugm.reg
  • Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
  • Clic sur le bouton rouge MoveIt
  • Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clique sur "Yes"
  • Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles)

 

 

flechedroitets2.png RegFix


  • Copie ce code:
    Windows Registry Editor Version 5.00
    
      [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    
      [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]


  • Colle-le dans ton bloc-note
  • Enregistre-le sur ton bureau sous le nom: yugm2.reg

  • Clique-droit sur ce fichier
  • Sélectionne "Fusionner"
  • Répond "Oui" au message d'alerte.

 

 

11dfb29f82183908e9db95c10eef.jpeg Si tu le souhaites, on peut maintenant sécuriser ton PC avec quelques logiciels et manipulations simples, assorties de quelques réflexes à apprendre et à faire partager dans ton entourage.

Modifié par oGu
Posté(e)

Bonjour oGu

 

Félicitations et Merci à vous deux (ton collègue Qc001)

-fonctionnement actuel:ras , alors que ce matin j'étais déconnecté ttes les 30 secondes et arrivais à me reconnecter après 5 ou 6 essais répétitifs .Pourquoi ? Bizarre

-pour info à une de tes précédentes questions : je suis en ADSL par modem usb(excuse- moi du retard)

- la fenêtre après CFSubmit.htm en j-1 n'est jamais apparue

 

Suppressions de logiciels

- pas trouver de Norton Removal Tool

-vu pour UITool 3,RHOSTS,Malwarebytes antiMalware,ZHP,OTMOVEIT.exe avec Cleanup( il m'a fallu le télécharger à nouveau pour le rapport ) et resuppression sur bureau et en C:

 

Bon fonctionnement de REgfix

 

Rapport OTmoveit:

 

File/Folder C:\Documents and Settings\All Users\Application Data\PC Tools not found.

C:\WINDOWS\system32\yugm.reg moved successfully.

 

OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04052008_164801

 

 

OK pour la sécurisation de mon PC ,quand tu veux

Bon Week-End

Posté(e)
-fonctionnement actuel:ras , alors que ce matin j'étais déconnecté ttes les 30 secondes et arrivais à me reconnecter après 5 ou 6 essais répétitifs .Pourquoi ? Bizarre

-pour info à une de tes précédentes questions : je suis en ADSL par modem usb(excuse- moi du retard)

 

Il y a plusieurs pistes à explorer pour les déconnections: le cable USB est moins fiable que l'ethernet, et le navigateur Orange est réputé peu fiable. Tu devrais également installer Firefox ou Opéra en plus du navigateur Orange, et voir ce qu'il en est. Le peer-to-peer gêne aussi les connections mais tu n'en disposes pas, donc...

 

 

 

OK pour la sécurisation de mon PC ,quand tu veux

Bon Week-End

 

Je te préparerai ça alors!

A+

  • 2 semaines après...
Posté(e)

Bjp oGu :P

Grand merci pour ton aide précieuse.Pour l'instant j'ai démarré sur ton lien de sécurité en créant un compte limité(qques soucis avec clavier en anglais ,suppression du gestionnaire Orange,création de mon cpte Internet....)mais ça va mieux

Sur ce oGu au revoir et félicitations à ce type de dialogue

NB :ou mettre le"Résolu"?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...