[Résolu]W32.Spybot.Worm

[Phengizy]

Bonsoir à ToutezéAtous,

Norton me prévient mais n'arrive pas à le liquider. Et en plus quand je lance l'analyse elle se bloque.

Ad-Aware ne sait pas non plus

Spybot- J'crois pas qui peut y arriver.

G fait 2 Scan en ligne - Se bloque ²

Si ça peut aider il est dans

C:\WINDOWS\SYSTEM32\SVBHOST.EXE

G fait plusieurs scans HJT et plusieurs évaluations, g tjrs 8 mèchants

Depuis ce midi je fais des recherches sur Google et biensùr sur Zébu . Que dalle

Alors v'la mon HJT - A l'aide . Merci d'avance

 

Logfile of HijackThis v1.99.1

Scan saved at 21:22:00, on 18/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\iTouch\iTouch.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\TEMP\Nero Complet\PDVDServ.exe

C:\WINDOWS\System32\rundll32.exe

C:\Tes Downloads\GaduGadu\Gadu-Gadu\Gadu-Gadu\gg.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Tes Downloads\Avant Browser\avant.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\Phengizy\Bureau\Sécu\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;;localhost;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Tes Downloads\Divers\Adobe\ActiveX\AcroIEHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Windows TM] SVBHOST.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\TEMP\Nero Complet\PDVDServ.exe"

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\RunServices: [Windows TM] SVBHOST.exe

O4 - HKLM\..\RunOnce: [Windows TM] SVBHOST.exe

O4 - HKCU\..\Run: [Windows TM] SVBHOST.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Tes Downloads\GaduGadu\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\RunOnce: [Windows TM] SVBHOST.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Tes Downloads\Divers\Adobe\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Bloquer ce serveur... - C:\Tes Downloads\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Bloquer cette publicité... - C:\Tes Downloads\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Tes Downloads\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Rechercher sur le Web... - C:\Tes Downloads\Avant Browser\Search.htm

O8 - Extra context menu item: Surligner - C:\Tes Downloads\Avant Browser\Highlight.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O14 - IERESET.INF: START_PAGE_URL=http:\\www.numericable.fr

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1106326482075

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://ncn.metaboli.fr/components/Metaboli.ocx

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Tes Downloads\Sécurité\TuneUp\WinStylerThemeSvc.exe

Modifié le 21 février 2005 par Phengizy

[Zonk]

Salut

Plusieurs supprime la restauration systeme lorsque la pest est dans la machine.........et font tous tes démarches en mode sans échec......ca devrait aider.......attends d'autres 'avis avant de faire des démarches à risque...bonne chance!

 

http://securityresponse.symantec.com/avcen...pybot.worm.html

 

Va lire ceci(Anglais)......surtout à "removal instruction"....tu verras le "boutte"!!!ca s'ra pas long!!!!

Modifié le 18 février 2005 par Zonk

[Phengizy]

Salut Zonk et merci,

 

OK j'attends mais comment on fait pour

Plusieurs supprime la restauration systeme

?

@+

[Zonk]

http://service1.symantec.com/SUPPORT/tsgen...001111912274039

 

 

Va voir ca....Y a surement moyen de le trouver en francais.....mais,c'est plus rapide de cette facon.......je suis avec l'ordi plus porté à travailler en anglais(ma mère est Anglaise...donc...et la majorité des sites sont en anglais......)..n'oubli pas de remettre ta restauration en marche après tout cela

 

http://www.obituariesqc.com/info/Zonk.asp

 

Pour les amateurs de " méchante musique"..vous aller comprendre pourquoi "zonk"

Modifié le 19 février 2005 par Zonk

[Phengizy]

Merci,

Ca va j'ai compris, j'essaierai demain - Je te tiens au courant

bye

[stin07bis]

C:\Tes Downloads\GaduGadu\Gadu-Gadu\Gadu-Gadu\gg.exe

O4 - HKLM\..\Run: [Windows TM] SVBHOST.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\RunServices: [Windows TM] SVBHOST.exe

O4 - HKLM\..\RunOnce: [Windows TM] SVBHOST.exe

O4 - HKCU\..\Run: [Windows TM] SVBHOST.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Tes Downloads\GaduGadu\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\RunOnce: [Windows TM] SVBHOST.exe

10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

 

salut, déjà ceux-ci à enlever en mode sans echec...faire le nettoyage des fichiers "temp" internet, nettoyage de ton dd...passe aussi "spybot" et 1 antivirus en mode sans echec...

@+

[Phengizy]

Merci stin07bis,

Pour Info: Gadu-Gadu c'est MSN polonais

Au fait: HJT en mode sans échec, c'est F8 et procédure normale ?

@ +

[Invité tesgaz]

Salut,

 

oui tout à fait,

 

toujours faire hijackthis en mode sans echec et supprimer les fichiers ensuite, sinon, il reviennent creer de nouvelles entrées

[Phengizy]

salut tesgaz,

On en apprend tous les jours

Merci encore

@ +

Modifié le 18 février 2005 par Phengizy

[Zonk]

Tiens copain.......

http://www.symantec.com/region/fr/techsupp...pybot.worm.html

 

http://service1.symantec.com/SUPPORT/INTER...=&osv=&osv_lvl=

 

 

La meme chose mais en francais mon Phengizy !!!! a l'attaque tab**nak!!!!!!!!!!

Modifié le 19 février 2005 par Zonk