Infections à gogo...

[DD11]

Bonjour à tous et à toutes

Hier j'ai été appelé au secours par mon frangin: plus de connexion (Wanadoo LiveBox)

Je parviens tant bien que mal à mettre à jour: Antivir, A2, Spybot S&D, AdAware SE et ... c'est parti pour 4 scans, tous en mode sans échec: Y en a eu pour tout le monde !

Une fois tout terminé et donc (théoriquement) propre, je lance un rapport HJT que je vous joins... Désolé, pour moi c'est encore de l'hébreu...

Merci d'avance à l'attention que vous voudrez bien y apporter.

 

Logfile of HijackThis v1.99.1

Scan saved at 20:03:18, on 08/05/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\system32\slserv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe

C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe

C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HbTools\Bin\4.6.2.0\HbtSrv.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\JROME~1\LOCALS~1\Temp\Rar$EX09.391\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6F009FD1-DEFF-6757-2B1C-EF71088240B5} - C:\DOCUME~1\Thibault\APPLIC~1\ELSEST~1\gram bias.exe

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [PhilipsRemote] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\PhilipsRemote.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"

O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe

O4 - HKLM\..\Run: [lelsrcet] C:\WINDOWS\system32\shknxxys.exe

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe

O4 - HKLM\..\Run: [Meet locks multi curb] C:\Documents and Settings\All Users\Application Data\Debug Five Meet Locks\MeowBags.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[BipBip07]

Salut,

 

Tout d'abord désinstaller MessengerPlus! 3 qui contient des spywares tu le réinstallera si tu le souhaite plus tard en faisant attention de décocher l'installation des sponsors lors de l'installation de celui ci ! Mais il est préféreable d'installer MSN simple...

 

C:\DOCUME~1\JROME~1\LOCALS~1\ Temp \Rar$EX09.391\HijackThis.exe

 

[red]IMPORTANT[/red]: Installer Hijackthis correctement !

L’installer sous C:\hijackthis par exemple (pas dans un fichier temps)

Tutorial téléchargement et installation et utilisation HJT

 

Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

O2 - BHO: (no name) - {6F009FD1-DEFF-6757-2B1C-EF71088240B5} - C:\DOCUME~1\Thibault\APPLIC~1\ELSEST~1\gram bias.exe

O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe

O4 - HKLM\..\Run: [lelsrcet] C:\WINDOWS\system32\shknxxys.exe

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe

O4 - HKLM\..\Run: [Meet locks multi curb] C:\Documents and Settings\All Users\Application Data\Debug Five Meet Locks\MeowBags.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

 

Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

Ensuite aller dans l’ Explorateur Windows et afficher tous les fichiers cachés:

[blue] Dans une fenêtre de l'explorateur Windows, cliquez sur le menu "Outils" et choisissez "Options des dossiers...".

Affichez l'onglet "Affichage" et sélectionnez l'option "Afficher les fichiers et dossiers cachés"

Cliquer sur « Appliquer ». Fermer la fenêtre d'options en cliquant "OK".

En image ici[/blue]

 

et supprimer les fichiers ci dessous si ils sont présent :

 

C:\Program Files\ShopperReports\

C:\DOCUME~1\Thibault\APPLIC~1\ELSEST~1\gram bias.exe

C:\Program Files\MessengerPlus! 3\

C:\WINDOWS\system32\shknxxys.exe

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\

C:\Documents and Settings\All Users\Application Data\Debug Five Meet Locks\MeowBags.exe

C\temp\ [blue]<-- supprimer tout le contenu du dossier[/blue]

C:\windows\temp\ [blue]<-- supprimer tout le contenu du dossier[/blue]

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ [blue]<-- supprimer tout le contenu du dossier[/blue]

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ [blue]<-- supprimer tout le contenu du dossier[/blue]

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\[blue]<-- supprimer tout le contenu du dossier[/blue]

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

 

[blue]Dans l'Explorateur Windows recacher les fichiers systeme afin de ne pas faire d'erreur a l'avenir:

Retournez à la fenêtre <Paramètres de dossier> et sélectionnez <Ne pas afficher les fichiers cachés ou les fichiers système>.[/blue]

 

redémarrer normalement,

 

nettoyer ta base de registre avec Easycleaner et Ccleaner (tu trouvera le nécessaire dans masignature "consignes de sécurité")

 

Puis reviens mettre un rapport Hijackthis

[DD11]

Merci de ton aide

J'avais oublié de préciser que suite aux scans (et nettoyages) précédemment cités, j'ai effectué un nettoyage de la BDR avec EasyCleaner ...

A refaire malgré tout ?

Merci de confirmer

Je vous tiens au courant de la suite (probablement mercredi, je peux pas avant)

Merci pour le moment

Oups! Sorry, je me suis mal exprimé: seuls les scans anti-virus, Spyware, Malware ont été faits en mode sans échec . Easy cleaner (dans l'ordre) puis HijackThis ont été faits après redémarrage en mode normal .

Modifié le 10 mai 2005 par DD11

[BipBip07]

Merci de ton aide

De rien,

 

J'avais oublié de préciser que suite aux scans (et nettoyages) précédemment cités, j'ai effectué un nettoyage de la BDR avec EasyCleaner ...

A refaire malgré tout ?

Merci de confirmer

Oui dans l'aodre que j'indique. Car aprés chaque nettoyage d'un infection il reste des traces dans la BdR donc re oui...

 

Je vous tiens au courant de la suite (probablement mercredi, je peux pas avant)

Merci pour le moment 

Ben je ne suis pas toujours la non plus donc assure toi au moins que les ligne que je t'a idis de fixer ne réapparraisent pas sinno refait la manip

 

A+

[ipl_001]

Bonsoir DD11, BipBip07, bonsoir à tous,

 

Bien vu, BipBip !

[megataupe]

Bonsoir DD11, BipBip07, bonsoir à tous,

 

Bien vu, BipBip !

500326[/snapback]

 

Bonsoir IPL. Beau travail d'équipe une fois de plus. Pourrais-tu m'expliquer les raisons techniques qui font que le scan d'Hijackthis et la fixation des "cochoncetés" ne se fait pas en mode sans échec ? Avant d'apprendre, j'aime bien comprendre.

[chercheur]

Bonsoir DD11, BipBip07, Ipl_001, Megataupe

 

 

Bonsoir IPL. Beau travail d'équipe une fois de plus. Pourrais-tu m'expliquer les raisons techniques qui font que le scan d'Hijackthis et la fixation des "cochoncetés" ne se fait pas en mode sans échec ? Avant d'apprendre, j'aime bien comprendre.

500330[/snapback]

 

Il n'y a pas de raisons techniques.

Classiquement, on fixe avec HijackThis, on démarre en mode sans échec et on supprime les dossiers.

 

Il est aussi possible de tout faire en mode normal, mais il y a des résistances avec certains fichiers que l'ont ne peux pas supprimer car ils sont en cours d'utilisation par un processus quelconque.

 

Il est aussi possible de tout faire en mode sans échec.

C'est d'ailleurs de cette façon que l'on procède quand on rencontre des difficultés à éliminer certains malwares.

[queruak]

Bonsoir à tous,

 

Le fait de passer Hijackthis en mode sans echec peut masquer certains processus et entrées néfastes.

Le scan en mode normal evite ce désagrément.

Pour les corrections(supprimer les fichiers inutiles entres autres)la meiileure façon est de le faire en mode sans echec.

[DD11]

Bonsoir à tous,

 

Le fait de passer Hijackthis en mode sans echec peut masquer certains processus et entrées néfastes.

Le scan en mode normal evite ce désagrément.

Pour les corrections(supprimer les fichiers inutiles entres autres)la meiileure façon est de le faire en mode sans echec.

500339[/snapback]

Bonjour à tous !

Apparemment j'ai édité mon post trop tard...

Le nettoyage de la BDR par EasyCleaner, puis le rapport HijackThis ont été faits après redémarrage, en mode normal

Encore merci de votre aide