Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Désinfection impossible, a l'aide !


Messages recommandés

Bonjour,

 

J’ai été infecté par une clé USB (je crois) le 13/05. Mon antivirus Avast 4.8 (à jour) a trouvé Win32 :RJump-B et a mis les fichiers « trz55.tmp » et « ravmone.exe » en quarantaine.

 

Le 21/05, nouvelle alerte d’Avast disant que trop de e-mail veulent être envoyés en même temps (alors que je ne veux rien envoyer !). L’envoyeur semble être « Natwest Bank Electonic Banking… » et les destinataires « J…@... .uk). Je clique sur « Bloquer ». Puis un faux message apparaît à l’écran sur fond bleu : Je sais, par des recherches, que c’est le Trojan W32 :Pakes.CSG. Je lance une désinfection et je fais « supprimer » dans Avast.

 

Quelques instant après, Avast le signale le même problème de saturation d’e-mails.

 

Je débranche alors la connexion internet et je lance Spybot Search and Destroy (version 1.5.2 à jour). Il trouve ceci :

 

Smitfraud-C.gp: [sBI $5BE8152F] Réglages Autorun (ctfmona) (Valeur du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmona

 

Smitfraud-C.gp: [sBI $5BE8152F] Fichier de programme (Fichier, nothing done)

C:\WINDOWS\system32\ctfmona.exe

 

Win32.Agent.icb: [sBI $A0EF69BD] Réglages (Valeur du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\mid

 

Win32.Agent.icb: [sBI $9C8AB327] Réglages (Valeur du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\st

 

Win32.Agent.icb: [sBI $1E3889AA] Réglages (Valeur du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\iapInit_Dlls

 

Win32.Banker.aipy.rtk: [sBI $F565C0D5] Réglages (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmandrv

 

Win32.Banker.aipy.rtk: [sBI $AD7B69FD] Réglages (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\lanmandrv

 

Win32.Banker.aipy.rtk: [sBI $4443B172] Bibliothèque (Fichier, nothing done)

C:\WINDOWS\system32\qmopt.dll

 

Win32.Agent.cn: [sBI $39D44109] Image (Fichier, nothing done)

C:\WINDOWS\system32\ctfmonb.bmp

 

--- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) ---

 

Je supprime le tout et je redémarre. Je vérifie les modifications dans la base de registre (d’après les info de Spybot) et tout semble avoir été enlevé.

 

MAIS Les problèmes reviennent.

 

Je passe le détecteur de Logiciels Malveillants de Microsoft (MRT.exe) de mai 2008, mais il ne détecte rien.

Avast ne semble rien détecter non plus, mais dans le journal d’Avast, je trouve qu’il a neutralisé les virus suivants (le 21/05 à 14h00) :

Win32 :Agent-SPG [Trj] (lanmandrv.sys)

Win32 :Agent-QJA [Trj] (add.exe)

 

Je désactive à nouveau Internet et je passe en mode Sans Echec.

 

Avast trouve :

 

Win32 : Small-JPM [spy] (Dll.dll)

Puis

Win32 : Pakes.CSG

 

Pendant le scan d’Avast, l’ecran de veille “Blackster.scr” s’est déclenché (même en mode Sans Echec) (il fait partie de « Pakes.CSG » qui est aussi « Smitfraud-c.gp » trouvé par Spybot). J’ai supprimé manuellement le fichier Blackster.scr.

 

J’ai lancé aussi plusieurs fois HiJackThis (je l’ai renommé en Test H-J.exe) et le dernier scan donne ceci :

 

Logfile of HijackThis v1.99.1

Scan saved at 22:49:35, on 21/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Hercules\DualPix Exchange\Camservice.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\system32\aspimgr.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Senesi\Bureau\OUTILS\Test H-J.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand203000018.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [CamserviceDP] C:\Program Files\Hercules\DualPix Exchange\Camservice.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\MSWorks\Calendrier\WKCALREM.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Surligner en Jaune - C:\WINDOWS\web\MarqueurFluoYellow.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/...E_5.3.0.228.cab

O16 - DPF: {4C57C98A-E582-46E4-8FD8-5EBDC94CEA39} (Mindjet MindManager Viewer Control) - http://www.mindjet.com/viewer/eng/MjMmViewer.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123318781378

O16 - DPF: {8FD07749-EFFA-48C6-947C-45A8D7BF422F} (CLVistaGenie Control) - http://www.cyberlink.com/vista/prog/CLVistaGenie.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

 

 

 

 

Deplus, j’ai aussi remarqué qu’un icône « Update Manager » dans le menu Démarrer. C’est Microsoft ASPI Manager, InstallDriver Table Manager et InstallShield Update Manager 3.0.

Le processus sont : ISUSPM Startup et ISUSSheduler. Comment sont-ils venus là ? Comment les désinstaller, car rien n’apparaît pas dans Ajouter/Supprimer des Programmes (ni dans la liste de désinstallation de CCleaner).

 

J’ai aussi une clé dans la base de registre HKLM\Soft..\Micro..\Wind…\Current Version\Run nommée « KernelFaultCheck » avec comme valeur « %systemroot%\system32\dumprep 0 –k ». Cette clé a-t-elle un rapport avec les virus ?

Même question pour un Processus nommé « devLdr32.exe » présent dans la liste de processus actifs (lorsque je fais CTRL+Alt+Suppr) ?

 

Qui peut m’aider ???

 

D’avance je vous en remercie, car je ne sais plus quoi faire !!

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

dans un premier temps.

 

Ta version d'HijackThis est obsolète :

 

Télécharger et installer la dernière version d'HIJACKTHIS v2.0.2:

 

Enregistrer HJTInstall.exe sur le bureau.

Double-cliquer sur HJTInstall.exe pour lancer le programme.

Par défaut, il s'installera là : C:\Program Files\Trend Micro\HijackThis

  • .

Accepter la licence en cliquant sur le bouton "I Accept".

 

Important :

Installez HijackThis dans un répertoire NON Temporaire (afin de conserver les sauvegardes qu'il fait)

 

Choisir l'option "Do a system scan and save a log file".

Cliquer sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note.

Cliquer sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport.

Coller le rapport sur ce forum.

Ne fixer encore AUCUNE ligne, cela pourrait empêcher le PC de fonctionner correctement.

 

En cas de doute, un tutoriel très bien fait :

"http://www.libellules.ch/poster_log_hijackthis.php"[/color]

 

@+

Lien vers le commentaire
Partager sur d’autres sites

deuxième chose,

 

DESINSTALLER AVAST!

 

 

Télécharge aswclear sur ton bureau.Lance-le.

Clique sur Uninstall

Redémarre l'ordinateur.

 

Avast n'offre plus une protection suffisante : lui préférer Antivir.

- Avast VS Antivir : http://forum.malekal.com/ftopic3528.php

- Télécharger Antivir : http://www.free-av.com/

 

 

Télécharger ATF Cleaner (Atribune.org),

 

 

l'intérêt de ce logiciel, c'est qu'il est exécutable directement, il ne s'installe pas

 

Cliquez sur son icône et vous devriez retrouver une fenêtre qui ressemble à ceci :

 

Cliquez sur Select ALL et ensuite sur "Empty selected"

 

Télécharger Smitfraudfix (S!ri)

 

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm.

 

post aussi le nouveau rapport HJT avec la bonne version.

 

@+

Modifié par Wullfk
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...