Virus HELP.... urgent

[Pwalodwa]

Voilà, je bloque depuis plus d'une heure sur un virus récalcitran sur la mchine d'un client.

Ad-Adaware ne trouve rien

Spybot S&D TX ne trouve rien

AVP 3.1 ne trouve (plus) rien (la machine était, bien sûr, vérolée jusqu'à la moëlle)

mais...

Hijackthis 1.99.0 me trouve plein de lignes concernant une saloperie!

Logfile of HijackThis v1.99.0

Scan saved at 14:03:54, on 11/02/2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe

C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe

C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\AntiViral Toolkit Pro\avpm.exe

C:\Program Files\AntiViral Toolkit Pro\_avpm.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis v1.99.0\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.belgacombusiness.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.infosource.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.skynet.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CXMon] "C:\Program Files\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - HKLM\..\Run: [Windows Media Player] msa.exe

O4 - HKLM\..\Run: [cosine] cosine.exe

O4 - HKLM\..\Run: [Microsoft WinUpdate] xfnslvsd.exe

O4 - HKLM\..\Run: [msnmsgq32] C:\WINDOWS\msnmsgq.exe

O4 - HKLM\..\Run: [NvCplScan] winasp.exe

O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitekpz32.exe

O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\svchst.exe /i

O4 - HKLM\..\Run: [Windows media service] crsss.exe

O4 - HKLM\..\RunServices: [NvCplScan] winasp.exe

O4 - HKLM\..\RunServices: [Microsoft WinUpdate] xfnslvsd.exe

O4 - HKLM\..\RunServices: [cosine] cosine.exe

O4 - HKLM\..\RunServices: [Windows Media Player] msa.exe

O4 - HKLM\..\RunServices: [Windows media service] crsss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Windows Media Player] msa.exe

O4 - HKCU\..\Run: [cosine] cosine.exe

O4 - HKCU\..\Run: [Microsoft WinUpdate] xfnslvsd.exe

O4 - HKCU\..\Run: [NvCplScan] winasp.exe

O4 - HKCU\..\Run: [Windows media service] crsss.exe

O4 - Startup: La Solution Plus Ciel.lnk = C:\CIEL\Starter.exe

O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.belgacombusiness.net

O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab

O16 - DPF: {78313E33-7806-4AB1-B357-402F077DC127} (AInstProgr16 Class) - http://mitra.blonde.com/InstProgr16.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2A843AAB-5233-49B9-9824-9FE398F3BDFF}: NameServer = 195.238.2.22 195.238.2.21

O17 - HKLM\System\CS1\Services\Tcpip\..\{2A843AAB-5233-49B9-9824-9FE398F3BDFF}: NameServer = 195.238.2.22 195.238.2.21

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

crsss.exe (avec 3 "s"), msa.exe, et autres crasses ne veulent pas s'effacer (si je demande à Hijackthis the corriger le problème, il revient instantanément)

 

Help plz (ha oui, c'est urgent :/)

[Pwalodwa]

ad-watch me trouve ceci à chaque redémarrage

Ad-Watch Logfile, exported on 11/02/2005

Total number of events:19

===============================================

11/02/2005 14:27:04 - Definitions file SE1R27 05.02.2005 loaded successfully.

Build:SE1R27 05.02.2005

Total Signatures :34664

Target Families :631

Target Categories :6

CSI data Size :41888

 

File Size :1296130

 

===============================================

11/02/2005 14:27:04 - User preferences file loaded.

Ad-Watch preference file loaded.

Applying user settings

C:\Documents and Settings\user\Application Data\Lavasoft\Ad-Aware\awsettings.awc

Initialization complete.

 

 

 

 

===============================================

11/02/2005 14:27:05 - Sites file loaded.

Sites file loaded successfully.

C:\PROGRA~1\Lavasoft\AD-AWA~1\sites.txt

Total entries : 3229

 

 

 

 

 

===============================================

11/02/2005 14:27:07 - Registry modification detected

Root:HKEY_CURRENT_USER

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:Windows Media Player

Data:msa.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:07 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:Windows Media Player

Data:msa.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:07 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\RunServices

Value:Microsoft WinUpdate

Data:xfnslvsd.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_CURRENT_USER

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:cosine

Data:cosine.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:cosine

Data:cosine.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\RunServices

Value:cosine

Data:cosine.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_CURRENT_USER

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:Microsoft WinUpdate

Data:xfnslvsd.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:Microsoft WinUpdate

Data:xfnslvsd.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\RunServices

Value:Windows Media Player

Data:msa.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_CURRENT_USER

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:NvCplScan

Data:winasp.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:msnmsgq32

Data:C:\WINDOWS\msnmsgq.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\RunServices

Value:NvCplScan

Data:winasp.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_CURRENT_USER

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:Windows media service

Data:crsss.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:NvCplScan

Data:winasp.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\RunServices

Value:Windows media service

Data:crsss.exe

New Data:

 

 

 

===============================================

11/02/2005 14:27:14 - Registry modification detected

Root:HKEY_LOCAL_MACHINE

Key:Software\Microsoft\Windows\CurrentVersion\Run

Value:Windows media service

Data:crsss.exe

New Data:

 

 

 

===============================================

[Sew-Oszka]

Coucou Pwalodwa!

 

Je suppose que tu as essayé en mode sans echec....

as tu essayé de faire le menage dans msconfig, et de rebooter avant de virer les lignes?

le fait qu'ils soient récalcitrant peut aussi venir de la restauration sysème non?

 

tu peux les supprimer manuellement, en prenant soin de tuer les processus correspondant, avec le gestionnaire des taches ou si ca marche pas avec un truc comme killprocess...

 

Je suis pas sûr de t'avoir aidé Bonne chance!

[Pwalodwa]

Salut Choupinou.

Alors j'ai essayé en mode sans échec, j'ai essayé de trouver les exécutables (qui sont totalement introuvables sur la machine), j'ai bien sûr vider les dossier temp (avec le shredder de Spybot qui plus est), j'ai virer tout dans regedit à la main (donc "mieux" que msconfig), j'ai bien sûr commencé par désactiver la restauration système (qui, je l'ai vérifié, reste bien désactivée)... et même killprocess mais crsss, cosine, winasp et co n'y apparaissent pas!!!!

 

Enfin, ça me rassure au moins de voir qu'il n'y a pas un truc "de base" que j'ai oublié de faire...

 

Par contre je suis parti de chez le client avec son ordinateur comme ça... ce qui m'emm*** assez

[Sew-Oszka]

Comment ca ils sont introuvables??? T'as desativé le masquage des fichiers cachés, ainsi que celui des fichiers cachés protégés par l'os, etc... ?? Ce genre d'executable est sûrement danc C:\WIDOWS ou C:\WINDOWS\System32! Ca a l'air bien chiatique comme truc!

[Pwalodwa]

Comment ca ils sont introuvables???      T'as desativé le masquage des fichiers cachés, ainsi que celui des fichiers cachés protégés par l'os, etc... ?? Ce genre d'executable est sûrement danc C:\WIDOWS ou C:\WINDOWS\System32! Ca a l'air bien chiatique comme truc!

460722[/snapback]

J'ai désactivé l'option "cacher les fichiers invisibles et les fichiers systèmes" dans "option des dossiers"... Il y a un truc ailleurs?

 

J'ai aussi cherché "à la main" dans Windows, System, et System32... mais aucun des exécutables n'y est visible.

 

Il m'arrive régulièrement de désinfecter une machine sans antivirus et de devoir jongler avec tout ça, mais jamais je n'ai vu une crasse pareille

[Sew-Oszka]

Est ce qu'il ya dans la liste de demarrage windows media player?

 

J'ai trouvé ca a propos de msa.exe et ca sur cosine.exe. a mon avis ca ne te sera pas d'une grande utilité, mais bon...

[Pwalodwa]

Est ce qu'il ya dans la liste de demarrage windows media player?

 

J'ai trouvé ca a propos de msa.exe et ca sur cosine.exe. a mon avis ca ne te sera pas d'une grande utilité, mais bon... 

460741[/snapback]

Dans la liste de démarrage, non, mais dans RUN (BDR) il y a msa.exe ...

Sinon, pour le liens, j'ai évidemment lu tout ce que j'ai trouvé sur Google.

Je trouve ça même étonnant qu'un seul éditeur propose une solution (c'est louche)

[did71]

Bonsoir Pwalodwa, bonsoir à tous,

 

relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenetres IE fermées) :

 

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)

O4 - HKLM\..\Run: [Windows Media Player] msa.exe

O4 - HKLM\..\Run: [cosine] cosine.exe

O4 - HKLM\..\Run: [Microsoft WinUpdate] xfnslvsd.exe

O4 - HKLM\..\Run: [msnmsgq32] C:\WINDOWS\msnmsgq.exe

O4 - HKLM\..\Run: [NvCplScan] winasp.exe

O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitekpz32.exe

O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\svchst.exe /i

O4 - HKLM\..\Run: [Windows media service] crsss.exe

O4 - HKLM\..\RunServices: [NvCplScan] winasp.exe

O4 - HKLM\..\RunServices: [Microsoft WinUpdate] xfnslvsd.exe

O4 - HKLM\..\RunServices: [cosine] cosine.exe

O4 - HKLM\..\RunServices: [Windows Media Player] msa.exe

O4 - HKLM\..\RunServices: [Windows media service] crsss.exe

O4 - HKCU\..\Run: [Windows Media Player] msa.exe

O4 - HKCU\..\Run: [cosine] cosine.exe

O4 - HKCU\..\Run: [Microsoft WinUpdate] xfnslvsd.exe

O4 - HKCU\..\Run: [NvCplScan] winasp.exe

O4 - HKCU\..\Run: [Windows media service] crsss.exe

O16 - DPF: {78313E33-7806-4AB1-B357-402F077DC127} (AInstProgr16 Class) - http://mitra.blonde.com/InstProgr16.cab

 

puis re postes un rapport hijackthis ensuite

 

a+

[Pwalodwa]

Bonsoir Pwalodwa, bonsoir à tous,

 

relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenetres IE fermées) :

Tu penses vraiment que je n'y ai pas songé

 

Ces lignes ont déja été supprimées plusieurs fois et de plusieurs façons différentes... si elles sont toujours là c'est parcequ'elles réaparaissent.